Dans un tweet du 16 septembre 2022, Uber, leader mondiale de VTC et de livraison de repas, a indiqué être victime d’une cyberattaque..
Il ressort des investigations menées que tout le réseau informatique de Uber a été piraté par un jeune de 18 ans.
En effet, le pirate a eu accès à tout le réseau du système informatique de la société.
Tout d’abord, les comptes Amazon Web Services (AWS) ont été affectés et corrompus, ensuite, le jeune pirate informatique a mis hors d’état de fonctionner le service de communication Slack d’Uber, et a envoyé ce message aux salariés de l’entreprise : « J’annonce que je suis un pirate informatique et qu’Uber a subi une violation de données ». Choquant !
Il ne s’est pas arrêté là, il s’est attaqué au service Google de la société où, selon certaines informations, ce compte contiendrait plus de 1 Pétaoctet de données. Même le système Hacker One bug bounty, un programme de récompense de chasse aux bugs et attaques, a été compromis.
Enfin, le pirate a eu accès aux rapports de vulnérabilité de cybersécurité de Uber.
Comment le cybercriminel a-t-il procédé ?
Selon certaines sources, le jeune hacker a ciblé certains employés à qui il a envoyé des messages prétendant être un responsable de technologie de l’information de l’entreprise. L’un des employés a été convaincu, et la victime aurait été approchée par SMS et aurait transmis par erreur ses identifiants de connexion au hacker, lui permettant ainsi d’accéder au VPN et ensuite avoir accès à tout le système du réseau informatique de la Société.
C’est la technique du #phishing.
Selon Sam Curry, analyste dans le domaine de la cybersécurité, au début, une bonne partie du personnel interagissait avec le pirate et pensait que les messages envoyés par le pirate étaient des blagues. Ils ont donc continué à utiliser le système de communication Slack bien que l’équipe informatique de la société leur ait demandé de se déconnecter.
Que doivent retenir les entreprises face à la récurrence de ces cyberattaques ?
Aucune entreprise américaine, européenne ni africaine n’est à l’abri face à la multiplicité des attaques cybercriminelles. Au regard des échanges internationaux et transfrontaliers à travers tout le continent, les entreprises, quel que soit leur emplacement, doivent réellement s’intéresser aux mesures prises pour sécuriser leurs données.
La principale source de vulnérabilité des systèmes informatiques demeure « l’humain ». À l’ère de l’évolution technologique ou les risques cybers deviennent de plus en plus récurrents, le risque humain est difficilement quantifiable pour une entreprise, et peut difficilement être anticipé. C’est la raison pour laquelle une approche particulière, basée principalement sur l’éducation et la sensibilisation des collaborateurs aux risques auxquels l’entreprise peut être confrontée, en cas de manque de vigilance, ou de négligence des bonnes pratiques de sécurité informatique, dans l’usage des outils informatiques mis à leur disposition, doit être menée.
La nécessité pour les entreprises de se mettre en conformité relativement à la protection des données personnelles
Une analyse profonde des multiples attaques cybercriminelles permet d’affirmer que les attaques ont eu un franc succès en raison du manque de procédures et de dispositifs techniques et organisationnels claires, permettant d’encadrer la gestion des données à caractère personnel au sein de ces entreprises victimes.
Ainsi, la mise en conformité des traitements de données à caractère personnel permet aux entreprises de se munir de dispositifs juridiques, techniques et organisationnels, qui donnent d’avoir un meilleur angle de vue à l’entreprise dans la gestion de son patrimoine informationnel.
Par ailleurs, les entreprises ne devraient pas uniquement se limiter à la simple rédaction de procédures, mais celles-ci doivent également s’assurer du suivi de ces règles par leurs employés qui sont généralement des sources de risque.
Toutefois, le risque zéro ne pouvant exister, un suivi continuel en vue du maintien de la conformité doit être assurée au sein de l’entreprise.
La multiplicité et la finesse des attaques cybercriminelles doivent amener les organismes à s’engager dans la démarche de mise en conformité de leurs traitements de données personnelles, qui ne demeure pas moins, un gage de confiance envers leurs clients et leurs partenaires.
En tant que cabinet spécialisé dans le management et la protection des données personnelles, la cybersécurité et la conformité réglementaire, Groupe DPSE se tient à votre disposition dans le cadre de ses services de formation, conseil, assistance et d’accompagnement de votre organisme.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!