A lire sur: http://www.zdnet.fr/actualites/faille-de-securite-et-si-l-editeur-de-securite-etait-responsable-39799043.htm
Pour les deux plaignants, qui espèrent voir leur plainte obtenir le statut d’action collective, Trustwave est directement responsable de l’intrusion dans le système informatique de l’enseigne Target, victime du vol des numéros de plus de 40 millions de cartes de crédit en 2013.
Sécurité : Dans une plainte, deux banques attaquent directement Trustwave, le prestataire de sécurité de l’enseigne US Target, cible d’une importante attaque informatique. Selon eux, l’éditeur a certifié PCI-DSS la firme alors qu’elle ne respecterait pas le standard.
Le fait pour un éditeur de solutions de sécurité que sa technologie ait échoué à détecter une attaque, comme c’est en principe son objet, peut-il être un motif suffisant pour exiger qu’il paie pour une partie du préjudice occasionné par une cyberattaque ?
Selon deux banques américaines, Trustmark National Bank et Green Bank N.A, la réponse est oui. Et c’est pourquoi elles ont déposé une plainte à l’encontre de l’éditeur Trustwave, qui fournit des services de sécurité pour l’industrie financière.
Une certification PCI non-justifiée
Pour les deux plaignants, qui espèrent voir leur plainte obtenir le statut d’action collective, Trustwave est directement responsable de l’intrusion dans le système informatique de l’enseigne Target, victime du vol des numéros de plus de 40 millions de cartes de crédit en 2013.
Les banques, qui poursuivent également Target, estiment que l’éditeur de sécurité a échoué à identifier les failles des serveurs de Target et a même convaincu l’enseigne qu’elle n’avait pas à craindre un piratage ou une fuite de données.
Trustwave, qui revendique avoir certifié PCI-DSS plus d’acteurs de la finance que n’importe quel autre prestataire, avait donc conclu que Target respectait bien les exigences de sécurité pour prétendre à cette certification.
Passer un audit n'est pas une garantie
Or selon American Banker, Target n’aurait pas été en conformité avec la norme de sécurité lors de la faille. Mais l’entreprise de sécurité aurait néanmoins assuré à son client que celle-ci ne s’exposait à aucun risque.
Etre certifié PCI-DSS n’est pourtant nullement la garantie d’être à l’abri des attaques. Le cas de Heartland Payment System, en conformité complète avec le standard de sécurité, en est une parfaite illustration : 130 millions de numéros de cartes volés.
Aucun commentaire:
Enregistrer un commentaire