Cinq études de cas majeures
Cinq études de cas majeures
Des incidents réels qui ont façonné la réglementation actuelle. Chacun d'eux recèle un enseignement direct pour la gouvernance au niveau du conseil d'administration.
1.3 Ce qui s'est passé et ses conséquences pour votre conseil d'administration
Cas n° 1 — Jaguar Land Rover : Arrêt de la production (2022)
Un ransomware a crypté les systèmes de technologie opérationnelle (TO) connectés aux lignes de production, interrompant la production dans plusieurs usines pendant plusieurs semaines. Impact financier : plusieurs centaines de millions. Leçon principale : la séparation physique entre les systèmes informatiques (SI) et les systèmes TO est en grande partie un mythe dans l’industrie connectée moderne. Une cyberattaque a paralysé des lignes de production physiques.
Votre organisation dispose-t-elle d'une politique de séparation OT/IT documentée et testée ? Le conseil d'administration a-t-il été informé des opérations physiques susceptibles d'être interrompues par un incident cybernétique ?
Cas n° 2 — British Airways : vol de données, amende de 20 millions de livres sterling au titre du RGPD (2018)
Un code JavaScript malveillant a permis l'exfiltration silencieuse des données de paiement et personnelles d'environ 500 000 clients pendant 62 jours, sans être détecté. L'attaque provenait d'un fournisseur tiers compromis, mais BA a assumé l'intégralité des sanctions réglementaires. Leçon principale : la responsabilité des tiers est votre responsabilité.
Cas 3 — Attaque de la chaîne d'approvisionnement mondiale de MOVEit (Cl0p, 2023)
Une faille de sécurité zero-day a été découverte dans le logiciel de transfert de fichiers MOVEit. Plus de 2 500 organisations ont été touchées, 83 millions d'enregistrements exposés. La BBC, British Airways, Shell, Boots et des agences fédérales américaines ont été compromises simultanément. Cette situation a déclenché des obligations de notification sous 72 heures dans des dizaines de juridictions.
Cas n° 4 — MGM Resorts : Ingénierie sociale, perte de plus de 100 millions de dollars (2023)
Des pirates ont contacté le service d'assistance informatique, usurpé l'identité d'un employé identifié via LinkedIn et demandé une réinitialisation de l'authentification multifacteur. L'ensemble de l'infrastructure technologique de MGM (machines à sous, cartes d'accès des hôtels, terminaux de paiement des restaurants, réservations) a été mis hors service pendant plus de 10 jours. Aucune faille technique sophistiquée n'a été exploitée. Un simple appel téléphonique a suffi à contourner tout le système de sécurité.
Cas n° 5 — SolarWinds : Chaîne d'approvisionnement entre États et nations (2020)
Le groupe étatique russe APT29 a compromis la chaîne de développement du logiciel SolarWinds Orion, diffusant un logiciel malveillant auprès de 18 000 organisations, dont le Trésor américain, le Département de la Sécurité intérieure (DHS) et Microsoft. L’attaque est restée indétectée pendant neuf mois. Il s’agit de l’attaque de chaîne d’approvisionnement la plus sophistiquée jamais connue, ciblant le processus de développement logiciel lui-même.