Une attaque de spear phishing réussie peut amener une entreprise à se retrouver devant la justice. Cette technique d'attaque est de plus en plus élaborée et envahissante, permettant à des pirates de s’introduire dans vos systèmes et d’accéder à vos données grâce à des emails personnalisés et trompeurs.
Il est estimé que 91% des attaques informatiques débutent par un email de phishing ou de spear phishing. Si une attaque aboutit à une fuite de données ou d'autres divulgations gênantes, vous encourrez certainement des poursuites judiciaires pour négligence. Ce qui mène, bien sûr, à la question : quel est le coût d’une attaque réussie pour l'entreprise ? Bien que la réponse soit subjective, nous tenterons de vous en donner une idée en montant un modèle bâti sur un ensemble d'actions qui ont été intentées suite à une attaque de spear phishing. Les chiffres que vous verrez ici sont des estimations basées sur des cas réels. Toutefois, les coûts réels varieront selon les organisations et la grandeur de l’attaque, mais le calcul montrera jusqu'où la facture peut s'élever pour une attaque de spear phishing réussie.
Déroulement de l'attaque
Afin d'illustrer le coût juridique du spear phishing, nous allons utiliser le cas d'une société fictive qui aurait subi la perte de 100 000 numéros de cartes de crédit de ses clients, ainsi que la fuite de communications d’emails internes entre les dirigeants. L'attaque a commencé lorsqu'un salarié a reçu un email venant de toute apparence d'un « collègue » qui n'en était pas un en réalité. Il s'agissait d'un hacker qui s’était fait passer pour un collègue. L’usurpation d’identité était concluante car le pirate avait bien pris soin d’étudier sa cible, notamment sur les réseaux sociaux grâce auxquels il apprit les projets sur lesquels sa cible travaillait et avec qui. Merci LinkedIn.
Après avoir noué un rapport avec la cible, le hacker avait prétexté que son poste avait un problème et il lui était impossible d’effectuer sa présentation auprès de clients potentiels. La cible a donc voulu aider son collègue et lui a partagé ses identifiants. Le hacker n’avait plus qu’à utiliser les identifiants fournis pour entrer dans le système d’information, de façon « légale et transparente ».
Action #1 : Action Collective pour « Atteinte à la Vie Privée »
La fuite de données vécue par l’entreprise Américaine Target fournit des référentiels utiles à la quantification des actions collectives pour atteinte à la vie privée et les responsabilités juridiques associées. Target a été poursuivi pour plusieurs chefs d’accusation, y compris des pertes financières provenant de la divulgation des informations bancaires de ses clients et du stockage illégale des cartes de crédit. Le verdict du procès va surement servir de jurisprudence pour ce genre de situation. La bonne nouvelle (pour l’entreprise) : pas tout le monde n’était en droit d'intenter une action. Les plaignants devaient rassembler des preuves sur la perte financière réelle subies en démontrant des dépenses non autorisées, le temps passé à récupérer ces dépenses, les taux d'intérêt plus élevés, entre autres. Ces exigences ont eu un effet d'élimination sur le nombre potentiel de candidats à l'actions.
La mauvaise nouvelle, par contre, est que cette violation revenait tout de même très cher pour Target. Target aurait réglé un total de 10 millions de dollars pour l'action collective, en versant $10 000 à chaque plaignant dont la perte financière était fondée. Une des raisons pour laquelle les dommages et intérêts se trouvaient aussi élevés concerne les « dommages statutaires ». De nombreux états américains imposent une pénalité forfaitaire pour l'invasion de la vie privée. Bien que l'argument ne soit pas juridiquement valable dans tous les États, l’application de l’amende reste bien réelle. En Californie, par exemple, les dommages statutaires pour l'atteinte à la vie privée s'élèvent à $5 000 par incident. Le verdict de l’affaire impliquant Target a imposé l'embauche d'un RSSI et la tenue d'une charte de sécurité informatique écrite.
Dans notre scénario, supposons que 10% des propriétaires des cartes de crédit compromises intenteront une action, ce qui créerait une action collective de 10 000 plaignants. Si l'équipe d'avocats externes passe 30 minutes à traiter chaque réclamation, le résultat équivaudrait à des frais des $1.750.000 pour l'action entière. Cet exemple n'est qu'un moyen d'estimer les frais juridiques dans une telle situation, mais en réalité, les actions collectives sont très complexes et chronophages. Si 0,5% des plaignants réussissait leurs actions, avec un règlement moyennant $7 500 par plaignant , cela coûterait à la société 3,75 millions de dollars. Le coût total d'une action collective arrivera à 5,5 millions de dollars.
|
Action collective |
|
| Nombre de fiches compromises | 100 000 |
| Pourcentage de ceux qui intentent une action | 10% |
| Nombre de plaignant dans l'action | 10 000 |
| Heures ouvrées de l'équipe juridique par plaignant | 0.5 |
| Taux horaire de facturation | $350 |
| Nombre d'heures ouvrées en total | 5 000 |
| Frais juridiques | $ 1 750 000 |
| Règlements | |
| Pourcentage de ceux qui acceptent le règlement proposé | 0,5% |
| Nombre de règlements | 500 |
| Coût du règlement | $ 7,500.00 |
| Coût total des règlements | $ 3 750 000 |
| Coût total des actions |
$ 5 500 000 |
Actions #2 et #3 : Anciens Salariés et Actions en Diffamation
Lorsqu'il y a une fuite d'emails, les mécontents (ceux dont on parle en mal dans l’email) ont tendance à vouloir intenter un procès pour diffamation. Tout comme l'attaque sur Sony Pictures, les anciens salariés et d'autres partenaires ont poursuivi Sony pour diffamation. Il est difficile d'estimer le coût d'un tel contentieux, mais pour l'argumentaire, supposons que 10 actions fondées aboutissent. Chaque action exige 200 heures de travail de la part des avocats et chacune s'achève par un règlement de $100 000. Comme indiqué dans le tableau, cela coûterait $700 000 à la société en termes de frais juridiques et $1 million en règlements.
| Actions en diffamation et par des anciens salariés | 10 |
| Heures ouvrées de l'équipe juridique | 200 |
| Coût par dossier | $ 70,000 |
| Total frais juridiques | $ 700,000 |
| Règlements par dossier | $ 100,000 |
| Coût total des règlements | $ 1,000,000 |
| Coût total des actions en diffamation | $ 1,700,000 |
Le Besoin des Mesures de Sécurité "Raisonnables et Adéquates"
Dans l'affaire Sony Pictures, les plaignants ont accusé la société de ne pas avoir protégé les informations personnelles des salariés en ne suivant pas des mesures de sécurité "raisonnables et adéquates".
D'après Variety, l'action accusait le studio d'avoir également échoué dans ses responsabilités en négligeant les mesures de sécurité de base telles que les contrôles d'accès et le chiffrement des mots de passe. Le fait de ne pas disposer de tels contrôles et technologies permet aux avocats des défendeurs de postuler que l'entreprise avait bien fait preuve de négligence dans sa gestion des données sensibles.
La preuve des efforts du maintien du respect de la vie privée est un défi pour les entreprises, mais il est toujours utile d'ajouter des protections contre les menaces. Toutes preuves pouvant démontrer que le défendeur prend au sérieux ces menaces et tente de les limiter est utile au tribunal. Dans le cas du spear phishing, la protection d'une entreprise peut s'avérer difficile, étant donné l'inefficacité de nombreux outils anti-malware et filtres anti-spam existants contre un email de spear phishing. Vade propose une solution innovante contre ces menaces. Il s'agit d'un filtre anti-spear phishing pouvant s'ajouter comme une couche supplémentaire sur des solutions anti-spam existantes afin de renforcer la protection globale de la messagerie. La solution bénéficie du filtrage heuristique des emails avec une intelligence artificielle ayant appris à reconnaître des messages de spear phishing, grâce à l’analyse de milliards d’emails journalière.
Dépenser quelques euros aujourd'hui sur la prévention semble dérisoire par rapport aux milliers que vous pourriez dépenser en frais juridiques…
