Après avoir subi une faille de sécurité majeure fin 2013, le distributeur Target reprend toute sa sécurité informatique à la base. Il nomme un nouveau DSI, prépare le déploiement de cartes à puce pour ses clients, reconfigure ses pare-feux, interdit certains protocoles internet et les accès de ses fournisseurs.
Target est un distributeur du type Carrefour aux Etats Unis. Il a été victime d’un vol massif de données de ses clients fin 2013. Suite à cet événement qui a fait les grands titres de la presse américaine, le distributeur a enclenché un plan de reconquête de sa crédibilité publique en matière de sécurité des données. Il communique officiellement sur les actions menées. Les opérations restent toutefois basiques et devraient faire partie des actions menées par toute entreprise et DSI digne de ce nom.
Un nouveau DSI
Le DSI aura fait les frais de la catastrophe médiatique et informatique vécue par Target. Le nouveau DSI qui vient d’être nommé est Robert DeRodes, ancien conseiller du gouvernement. Il a notamment conseillé le département HomeLand Security, le secrétaire d’état à la Défense et le département de la Justice.
Bob DeRodes a été aussi de 2008 à 2010, vice président exécutif des opérations et des technologies chez First Data Corp. Il a enfin été CIO de Home Depot et est passé par CitiBank, USA Fédéral Savings Bank et Delta Air Lines.
Il remplace Beth Jacob qui est partie au début mars. Il débutera le 5 Mai. Sa liste de missions est chargée : la sécurité des données, le développement de la future informatique de Target, et la feuille de route digitale de la société.
Ceci dit la société recherche toujours un CISO (Chief Information Security Officer), ce qui est un nouveau job ainsi qu’un Chief Compliance Officer.
Adopter les cartes à puce
Dans son plan d’action, le CIO doit basculer les cartes de crédit et débit des clients vers des cartes à puce avec code secret, d’origine MasterCard. Les transactions seront authentifiées via des cartes à puce. Cette initiative coûte 100 millions de dollars. Cela comprend la mise en place de nouveaux logiciels et des terminaux ad hoc dans les 1800 magasins de Target aux Etats Unis. Le déploiement débutera en 2015.
40 millions de numéros de cartes de crédit et débit avaient été dérobés, ainsi que les adresses et les numéros de téléphone de 70 millions de clients fin 2013, reconnaissait Target en Janvier dernier. Le distributeur annonce avoir déjà réalisé plusieurs améliorations de la sécurité. Il bloque l’accès des applications et de ses fournisseurs à ses systèmes de vente, et a mis à jour son logiciel de monitoring de son réseau.
Bloquer les accès des prestataires
Afin d’empêcher de futurs attaquants d’accéder à ses systèmes de paiement via une tierce partie, ce qui a été le vecteur d’attaque en 2013 par les hackers, Target a cessé de permettre à ses prestataires d’accéder aux serveurs qui ont été touchés par l’attaque.
Le distributeur bloque en outre les protocoles FTP et telnet lors de l’accès à ses systèmes pour les fournisseurs. Les pare-feux ont vu leur paramétrage être revu pour les trafics entrants et sortants. Target emploie les « listes blanches » afin de spécifier exactement les applications autorisées à communiquer avec les caisses enregistreuses et les points de vente.
Centralisation des fichiers de logs
De nouvelles règles et des alertes ont été mises en place afin de surveiller et visualiser son réseau informatique, et pour cela centralise les fichiers d’historiques (logs) et les fichiers sur l’activité du réseau. L’objectif est de réaliser des corrélations afin d’identifier les menaces lors d’accès tiers sur les systèmes de points de vente.
Les mots de passe des 445 000 employés de Target et des prestataires seront ré-initialisés. L’usage de l’authentification à deux facteurs sera élargi. Les coffres forts pour les mots de passe seront étendus et les multiples comptes des vendeurs des solutions informatiques seront déactivés. Les privilèges d’accès seront réduits pour certains comptes. Une formation sera donnée sur le changement des mots de passe.
Des avertissements ignorés
L’intrusion dans les systèmes de Target était passée via les systèmes d’un fournisseur, un prestataire de réfrigération, pour arriver sur les systèmes de caisses. Le Wall Street journal rappelle que l’équipe informatique avait prévenu des vulnérabilités des ordinateurs de Target, deux mois avant la brèche. Cela n’avait pas amené d’action de Target.