En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

' Flagrant délit d'irresponsabilité '

sommaire

Voir tout le sommaire  
' Cent millions de numéros de cartes de crédit piratés, mais c'est la faute de personne, ou plutôt celle des autres '
Yann Serra, grand reporter à 01 Informatique
' Ce n'est pas ma faute, c'est lui. ' Tout le monde le sait, mais personne n'en parle : la règle d'or de tout responsable est de bien savoir rejeter la responsabilité sur un autre en cas de problème. C'est d'ailleurs pour cela que l'on a inventé les sociétés de services, pour garantir contractuellement au DSI qu'elles se laisseront accuser à sa place lorsque le nouveau système plantera. Du coup, les entreprises se reposent sur ce principe et ne cherchent pas à faire évoluer les choses. Hé bien, ce n'est plus cas ! Dans une interview qu'il a récemment accordée au magazine en ligne CSO Online, Robert Carr, le théâtral patron de l'Américain Heartland Payment Systems, jette malgré lui sur la place publique un exemple parfait du délit d'irresponsabilité. Rappel des faits : la presse a révélé il y a quelques semaines le détournement d'environ 100 millions de numéros de cartes de crédit gérés par Heartland. Le pirate, Alberto Gonzales est présenté par l'intéressé comme le plus diabolique des malfaiteurs. En fait, l'attaque menée par Gonzales contre les ordinateurs de Heartland n'a rien de génial. Il s'agit d'une injection SQL, autrement dit le B. A-BA du piratage. C'était facilement contournable, sauf si les développeurs de Heartland se sont délestés de la responsabilité de programmation du site sur un logiciel type ' studio ' qui écrit tout, tout seul. Donc l'entreprise est responsable. Mais Robert Carr dit que non : il aurait payé une fortune des consultants en sécurité qui lui auraient certifié que tout allait bien. La patate chaude passe aux consultants, lesquels, outre montrer qu'on ne peut pas - contractuellement - les tenir pour responsables dans le cas d'une attaque d'une telle ampleur, renvoient la balle aux rédacteurs de la certification PCI-DSS ici accordée. Ce sont les organismes de cartes de paiement. Ces derniers rétorquent que le rôle de la certification consiste juste à être apte à travailler dans la finance, pas du tout à valider la sécurité ! Mais comme ils sont en bout de chaîne, ce sera donc à leur assurance de rembourser l'argent volé. Du coup, Heartland est satisfait. Le paradoxe tout de même incroyable, c'est que tout ce micmac aurait pu être évité si la société Heartland sétait intéressée elle-même à sa sécurité plutôt que de dépenser une fortune pour ne pas avoir à faire cet effort.
y.serra@01informatique.fr
envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Morning 01 Business Poste de Travail
Retour sur le Morning 01 Entreprise collaborative
Matinée CIO
Morning 01 Business Cloud computing
Retour sur les Trophées 01 Business de la Sécurité
Morning 01 Business Entreprise Collaborative
Les lauréats 2013 des Trophées 01 Business de la Sécurité
Les Trophées 01 Business de la Sécurité
Retour sur le 1er Morning : Big Data
BYOD, cauchemar ou opportunité pour les DSI ?
Morning 01 Business Cloud
Dîner Club 01
Retour sur la matinée 01 Workstation 2012
Retour sur la Matinée 01 Workstation
Retour sur la matinée Entreprise Collaborative
Retour sur la Matinée 01 Entreprise Collaborative