Résumé
- Les rapports de 2017 sur la compromission du système de messagerie de Deloitte sont devenus un test de responsabilité en matière de notification des données clients, car les reportages publics indiquaient que des attaquants avaient accédé à une plateforme de messagerie de Deloitte contenant des communications et pièces jointes de clients, tandis que Deloitte déclarait que seuls quelques clients étaient concernés et qu'il n'y avait eu aucune interruption des activités.
- Qui avait le contrôle effectif sur l'accès privilégié à la messagerie, l'authentification des administrateurs, la délimitation des données clients, la notification des parties concernées, les preuves d'audit et la preuve que la confidentialité des services professionnels avait survécu à la compromission?
- Le problème de responsabilité est que les cabinets de services professionnels transforment les contrôles internes de messagerie en contrôles de confidentialité des clients lorsque des documents réglementés, stratégiques et commerciaux transitent par des systèmes de messagerie partagés.
- Les clients, auditeurs, régulateurs, partenaires, employés, équipes d'approvisionnement et réviseurs de sécurité avaient besoin de preuves que les éléments exposés, la population notifiée et les mesures correctives étaient limités par des faits vérifiables.
- Cet article traite des rapports du Guardian àhttps://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emailsethttps://www.theguardian.com/business/2017/oct/10/deloitte-hack-hit-server-containing-emails-from-across-us-governmenten tant que reportages publics centraux, KrebsOnSecurity àhttps://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/et des reportages republiés par Reuters àhttps://uk.finance.yahoo.com/news/deloitte-hacked-says-very-few-clients-affected-052609557--sector.htmlcomme documents publics supplémentaires, ainsi que des documents de NIST, CISA, Microsoft, ICO et Companies House comme contexte de contrôle ou d'entité plutôt que comme preuve d'artefacts médico-légaux privés de Deloitte.
Pourquoi ce cas appartient à un dossier de risque et de responsabilité
Deloitte appartient à un dossier de risque et de responsabilité car l'incident a placé la confiance dans les services professionnels au sein d'un problème d'administration de messagerie. La question technique immédiate était de savoir comment les attaquants avaient accédé à la plateforme.
La question de responsabilité était plus large: une firme qui détient des communications confidentielles de clients, des documents d'audit, des documents stratégiques, des dossiers de transactions, des schémas de sécurité, des données réglementées et des conseils privilégiés peut-elle prouver ce qui a été exposé lorsqu'un environnement de messagerie partagé est compromis?
Le rapport initial du Guardian àhttps://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emailsindiquait que les attaquants avaient peut-être accédé à des emails confidentiels de clients et à des données connexes. Son rapport de suivi àhttps://www.theguardian.com/business/2017/oct/10/deloitte-hack-hit-server-containing-emails-from-across-us-governmentrapportait qu'un serveur contenait des emails associés à une population de clients plus large, y compris des documents gouvernementaux, et que des sources contestaient l'étroitesse de la position publique de Deloitte. KrebsOnSecurity a rapporté àhttps://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/que Deloitte avait reconnu un accès non autorisé à une plateforme de messagerie et déclaré que très peu de clients étaient concernés, tandis qu'une source proche de l'enquête alléguait une compromission plus large. SC Media a rapporté àhttps://www.scworld.com/news/no-accounting-for-this-deloittes-email-server-reportedly-breachedque Deloitte avait déclaré que l'examen était terminé, que peu de clients étaient concernés, qu'aucune perturbation des activités des clients n'avait eu lieu et que les entreprises concernées avaient été contactées.
Ces sources ne fournissent pas au public un dossier médico-légal complet. Elles montrent un conflit courant après des compromissions d'institutions de haute confiance. L'organisation affirme que la population affectée est limitée. Les journalistes et les sources remettent en question si la limite est aussi étroite que décrite. Les clients se demandent s'ils sont en dehors de la population affectée parce que les preuves médico-légales le prouvent, ou parce que la déclaration publique utilise une définition d'"impacté" qui ne correspond pas à leur propre risque. C'est le problème de responsabilité.
Le cas importe parce que la messagerie n'est pas un outil de back-office de faible sensibilité dans un cabinet de services professionnels. C'est un entrepôt de données clients, un système de flux de travail, un dossier juridique, un canal de livraison, une piste de preuves, une surface d'approbation et une archive de contexte privilégié. Un seul compte administrateur, s'il peut atteindre de nombreuses boîtes aux lettres ou fonctions de gestion, peut devenir une défaillance de confidentialité à travers de nombreuses relations clients. Le problème n'est pas seulement de savoir si des données personnelles ont été exposées.
Il s'agit de savoir si des secrets de clients, des stratégies, des discussions d'audit, des conceptions de sécurité, des communications avec les régulateurs, des identifiants, des diagrammes et des pièces jointes étaient accessibles.
La question de responsabilité est donc pratique: qui avait le contrôle effectif sur l'accès privilégié à la messagerie, l'authentification des administrateurs, la délimitation des données clients, la notification des parties concernées, les preuves d'audit et la preuve que la confidentialité des services professionnels avait survécu à la compromission? Cette question suit le contrôle, pas la réputation. Les clients de Deloitte ne pouvaient pas inspecter la plateforme de messagerie compromise en temps réel. Ils devaient compter sur la délimitation, les avis et l'assurance ultérieure de Deloitte.
La firme la plus proche des journaux, des privilèges, de l'inventaire des boîtes aux lettres, de la configuration du locataire cloud et du processus d'examen avait la plus forte obligation de preuve.
La messagerie interne devient une infrastructure client lorsque des travaux confidentiels y transitent
L'expression "compromission de messagerie" peut faire paraître le cas plus petit qu'il ne l'est. Dans une firme comme Deloitte, la messagerie est une automatisation logicielle d'entreprise pour le travail professionnel. Les équipes d'intervention échangent des brouillons, des approbations, des demandes, des pièces jointes, des feuilles de calcul, des preuves d'audit, des diagrammes architecturaux, des commentaires juridiques, des documents de transaction, des positions fiscales, des évaluations cyber, des décisions de personnel et des instructions clients.
Même lorsque le livrable final est stocké dans un système documentaire, la conversation qui lui donne son sens transite souvent par les boîtes aux lettres.
Cela rend le plan de contrôle large. L'accès administrateur à la messagerie peut exposer non seulement des messages mais aussi les délégations, les règles de transfert, la recherche dans les boîtes aux lettres, la conservation, les journaux d'audit, les fonctions de e-discovery, l'accès aux archives et les paramètres à l'échelle du locataire. Si ces fonctions ne sont pas strictement segmentées et surveillées, une compromission d'un compte privilégié peut devenir une compromission de nombreuses limites de confidentialité des clients.
Le cabinet de services professionnels peut posséder le système de messagerie, mais les clients possèdent une grande partie de la sensibilité qui y transite.
CBS News a rapporté àhttps://www.cbsnews.com/news/deloitte-cyber-attack-reportedly-hit-corporate-government-clients/que Deloitte avait déclaré que très peu de clients étaient concernés et qu'aucune perturbation n'avait eu lieu, tandis que des reportages publics décrivaient un compte administrateur et l'absence d'authentification à deux facteurs. Sky News a rapporté àhttps://news.sky.com/story/global-accountancy-firm-deloitte-admits-cyber-attack-11053136que Deloitte avait admis que des attaquants avaient accédé à des données détenues sur une plateforme de messagerie et avait informé les clients concernés. Le rapport du Financial Times àhttps://www.ft.com/content/1a69d936-a1fa-11e7-9e4f-7f5e6a7c98a2?syn-25a6b1a6=1traitait également de l'incident comme d'une cyberattaque majeure dans les services professionnels. Ces documents suffisent à montrer la controverse publique même s'ils ne divulguent pas l'examen privé des journaux.
Le problème des données clients n'est pas résolu en disant que seul un petit nombre de clients a été "impacté" à moins que la définition ne soit claire. Un client peut se soucier de savoir si son email a été consulté, si ses pièces jointes étaient accessibles, si ses données ont été recherchées, si des identifiants ou des diagrammes étaient présents, si des messages ont été exfiltrés, si des documents juridiques privilégiés ont été examinés, si des données personnelles d'employés étaient présentes et si l'attaquant avait la capacité de créer des règles de messagerie ou une persistance.
Chaque question peut produire une population affectée différente.
La confidentialité des services professionnels a également une dimension réputationnelle. Deloitte et ses pairs conseillent les clients sur le risque cyber, les contrôles, l'audit, la conformité et la transformation. Une compromission dans l'environnement de messagerie de la firme crée donc un problème de responsabilité de second ordre: savoir si les contrôles internes de la firme correspondaient à la discipline de contrôle qu'elle vend. Ce problème réputationnel ne devrait pas remplacer les faits médico-légaux.
Il explique pourquoi les clients et les observateurs étaient particulièrement préoccupés par l'authentification des administrateurs et la divulgation publique tardive.
L'accès privilégié est le pivot du cas
Les reportages publics ont mis l'accent à plusieurs reprises sur l'accès privilégié. The Guardian a rapporté que des attaquants avaient accédé à un serveur de messagerie mondial via un compte administrateur et que ce compte n'était pas protégé par une vérification en deux étapes. KrebsOnSecurity a rapporté des allégations concernant les comptes administrateurs et le système de messagerie plus large, tout en publiant la déclaration de Deloitte selon laquelle seuls quelques clients étaient concernés et qu'un examen avait déterminé ce qui était en danger et ce que l'attaquant avait fait. CyberScoop a rapporté àhttps://cyberscoop.com/deloitte-breach-2017/que la compromission impliquait un compte privilégié non protégé par une authentification à deux facteurs. TechTarget a rapporté àhttps://www.techtarget.com/searchsecurity/news/450427269/Deloitte-hack-compromised-sensitive-emails-client-dataque l'incident soulevait des questions sur les données clients, l'accès administrateur et la notification.
La configuration privée exacte n'est pas publique. Le principe de responsabilité est clair de toute façon. Les comptes privilégiés nécessitent une authentification plus forte, une autorisation plus stricte, une séparation des tâches, un accès conditionnel, une surveillance et une désactivation d'urgence que les comptes utilisateur ordinaires. Ils ne devraient pas être larges, silencieux et faciles à utiliser depuis des endroits inattendus. Si un compte peut administrer un grand environnement de messagerie, alors la compromission de ce compte crée un événement de confidentialité des clients, pas simplement un problème de service informatique.
Le contexte de contrôle est maintenant largement documenté. Les directives de CISA pour les petites et moyennes entreprises àhttps://www.cisa.gov/audiences/small-and-medium-businesses/secure-your-business/require-multifactor-authenticationindiquent que les organisations devraient exiger une authentification multifacteur pour l'accès à distance et l'accès privilégié ou administratif. La fiche d'information de CISA sur les MFA résistants au phishing àhttps://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdfexhorte à des formes plus fortes de MFA pour l'accès à la messagerie, au partage de fichiers et aux comptes financiers. Les directives actuelles de NIST sur l'identité numérique àhttps://csrc.nist.gov/pubs/sp/800/63/b/4/finaldéfinissent les exigences d'assurance d'authentification. L'aperçu MFA de Microsoft Entra àhttps://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworksdécrit le MFA comme nécessitant une forme d'identification supplémentaire lors de la connexion. Ces sources sont ultérieures ou générales; elles ne prouvent pas les contrôles de Deloitte en 2017. Elles expliquent pourquoi un compte administrateur sans MFA forte serait une préoccupation de contrôle évidente.
L'accès privilégié nécessite également une journalisation. Il ne suffit pas d'exiger un deuxième facteur si les actions des administrateurs ne sont pas visibles, consultables et conservées. Une plateforme de messagerie doit enregistrer les connexions administratives, les recherches dans les boîtes aux lettres, les modifications de permissions, les règles de transfert, les actions de e-discovery, les enregistrements d'applications, l'émission de jetons, l'accès aux journaux d'audit et les téléchargements anormaux. Sans ce dossier, la délimitation devient une conjecture.
Une firme peut dire qu'elle croit que seul un petit ensemble de clients a été affecté, mais les clients doivent savoir si cette croyance est étayée par des journaux ou par une absence de preuve.
Le cas repose donc sur la preuve de faits négatifs. L'attaquant n'a-t-il pas accédé à la boîte aux lettres d'un client? L'attaquant n'a-t-il pas téléchargé des pièces jointes? L'attaquant n'a-t-il pas créé de persistance? L'attaquant n'a-t-il pas obtenu d'identifiants ou de diagrammes? Pour prouver ces négatifs, la firme a besoin de journaux complets, d'une conservation cohérente, d'horodatages fiables, de permissions administratives connues et d'une méthode de reconstruction. Si les journaux sont incomplets, la réponse honnête peut être que la portée ne peut pas être prouvée avec confiance.
Cette réponse est douloureuse, mais elle est plus responsable que de transformer l'incertitude en réassurance.
La notification des clients dépend de la délimitation, pas de la confiance publique
Deloitte aurait contacté les clients concernés. Le rapport republié par Reuters àhttps://uk.finance.yahoo.com/news/deloitte-hacked-says-very-few-clients-affected-052609557--sector.htmla indiqué que Deloitte était victime d'une cyberattaque affectant un petit nombre de clients et que des attaquants avaient accédé à des données depuis une plateforme de messagerie. Sky News et SC Media ont rapporté des positions similaires de l'entreprise. The Guardian et KrebsOnSecurity ont rapporté que des sources pensaient que l'environnement affecté ou l'exposition potentielle était plus large. Le public ne peut pas résoudre ce conflit sans les preuves sous-jacentes.
La responsabilité de la notification commence par les définitions. Un client peut être "affecté" parce que ses données ont été consultées, parce que ses données étaient accessibles, parce que ses données se trouvaient dans une boîte aux lettres qui a été fouillée, parce que ses données se trouvaient dans le même locataire que les privilèges administrateur compromis, parce que ses identifiants étaient présents, parce que ses données réglementées étaient présentes, ou parce que son équipe d'intervention faisait partie d'un flux de travail affecté.
Une définition étroite de la notification peut satisfaire un seuil juridique mais échouer aux besoins de risque opérationnel du client. Une définition large peut créer l'alarme mais donner aux clients suffisamment d'informations pour se protéger.
La bonne réponse dépend des preuves. Si les journaux montrent que l'attaquant a accédé uniquement à des boîtes aux lettres et messages spécifiques, les notifications peuvent être ciblées. Si les journaux montrent un accès de niveau administrateur mais ne peuvent pas prouver ce qui a été consulté, la population affectée peut devoir être plus large. Si l'attaquant avait des capacités de e-discovery ou de recherche, la délimitation doit tenir compte des recherches dans les boîtes aux lettres. Si les pièces jointes comprenaient des données personnelles réglementées, les règles de protection des données peuvent s'appliquer.
Si des secrets clients ou des diagrammes de sécurité étaient présents, les clients peuvent avoir besoin de faire pivoter les identifiants, de revoir les contrôles ou de signaler à leurs propres régulateurs.
Le guide de sécurité des données du Commissaire à l'information du Royaume-Uni àhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/est ultérieur aux rapports de 2017 et appartient à l'ère du RGPD britannique, il ne doit donc pas être traité comme une constatation d'application directe de 2017. Il reste utile car il énonce le principe général de sécurité selon lequel les données personnelles doivent être protégées par des mesures techniques et organisationnelles appropriées. La page des principes de protection des données de l'ICO àhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/encadre également la responsabilité, l'intégrité et la confidentialité comme des idées fondamentales de la protection des données. Dans un réseau mondial de services professionnels, ces principes correspondent aux attentes des clients même lorsque les régimes juridiques spécifiques varient.
La notification des clients doit également gérer la souveraineté et la localité. Les reportages du Guardian décrivaient un environnement de messagerie basé sur le cloud Microsoft et un contexte d'enquête centré sur les États-Unis. Une firme mondiale peut détenir des données sur des clients, des gouvernements et des individus dans plusieurs juridictions sur une plateforme de messagerie partagée.
Les clients doivent savoir où leurs données étaient stockées, quelle entité juridique les contrôlait, quelle firme membre de Deloitte était impliquée, quels régulateurs ont été notifiés et si l'accès ou le traitement transfrontalier a modifié le risque. "Plateforme de messagerie" n'est pas une réponse juridictionnelle. C'est une catégorie technique qui doit être cartographiée en fonction de l'emplacement des données et des rôles de responsable du traitement ou de sous-traitant.
Le registre de Companies House pour Deloitte LLP àhttps://find-and-update.company-information.service.gov.uk/company/OC303675est un contexte d'entité de base, pas une preuve d'incident. Il importe car les réseaux de services professionnels incluent souvent plusieurs entités juridiques et firmes membres. Un client achetant des services auprès d'une entité Deloitte peut avoir besoin de savoir quelle entité contrôlait la plateforme affectée, quelle entité détenait le contrat et quelle entité a émis les notifications. La responsabilité devient plus faible lorsqu'une marque mondiale est visible du public mais que les preuves d'incident sont fragmentées entre entités juridiques, zones géographiques et lignes de service.
La messagerie cloud ne sous-traite pas la confidentialité
Les reportages publics décrivaient la plateforme affectée comme hébergée dans le cloud. Ce détail ne doit pas devenir une distraction. Un fournisseur de cloud peut fournir l'identité, la journalisation, la sécurité et les outils de plateforme, mais le cabinet de services professionnels reste responsable de la manière dont les comptes administrateur, les privilèges de locataire, l'accès conditionnel, les permissions de boîte aux lettres, la conservation des audits et les flux de travail des données clients sont configurés. Le cloud peut améliorer les preuves de contrôle s'il est bien configuré.
Il peut également concentrer les dégâts si un compte privilégié a une large portée et une authentification faible.
La documentation MFA de Microsoft Entra àhttps://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworksest utile car elle montre que les plateformes d'identité cloud modernes disposent de concepts MFA natifs. Les directives associées de Microsoft sur l'exigence de MFA pour les administrateurs àhttps://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-old-require-mfa-admindécrivent les modèles d'accès conditionnel pour les rôles administratifs. Cet article n'utilise pas ces pages pour affirmer quelles options Deloitte avait activées en 2017. Il les utilise pour encadrer le problème de contrôle: l'accès administrateur à un environnement de messagerie cloud est une surface d'identité à haut risque qui doit être renforcée, surveillée et revue.
La messagerie cloud modifie également les attentes en matière de preuves. Dans les systèmes sur site plus anciens, les journaux peuvent être fragmentés entre serveurs et appareils. Dans les systèmes cloud, les journaux centraux d'audit, d'identité, de boîte aux lettres et d'administration peuvent soutenir une meilleure reconstruction, mais seulement si la journalisation est activée, conservée et protégée contre la falsification.
Un examen post-compromission devrait pouvoir montrer les sources de connexion, les actions administratives, les événements d'accès aux boîtes aux lettres, l'activité des jetons, le consentement des applications, les modifications de transfert et les modèles de téléchargement. Si une firme ne peut pas montrer ces enregistrements, alors la plateforme cloud n'a pas fourni de responsabilité.
Il y a aussi un problème d'automatisation. Les plateformes de messagerie d'entreprise automatisent la conservation, la découverte, la classification, le transfert, la délégation, la migration des boîtes aux lettres, l'accès mobile et les intégrations tierces. Chaque fonctionnalité automatisée peut créer un chemin d'exposition si l'accès privilégié est compromis. Par exemple, une règle de transfert peut rediriger silencieusement le courrier. Un enregistrement d'application peut préserver l'accès après une réinitialisation de mot de passe. Une recherche de découverte peut atteindre de nombreuses boîtes aux lettres.
Un outil de migration peut déplacer de grands volumes de données. Un examen de la délimitation des données clients doit inspecter l'état d'automatisation, pas seulement les connexions directes aux boîtes aux lettres.
Le contexte des services professionnels amplifie le problème car le travail client est multi-locataire dans la pratique même si les contrats sont séparés. Un associé peut travailler sur plusieurs clients. Une boîte aux lettres peut contenir plusieurs missions. Une pièce jointe peut inclure des données de plusieurs entités. Une recherche administrative peut traverser des lignes de service. Par conséquent, une compromission de la messagerie interne est difficile à délimiter proprement.
Un programme solide de gouvernance des données classerait les documents clients sensibles, limiterait la conservation inutile des emails, séparerait les missions à haut risque, restreindrait les privilèges administrateur larges et conserverait les journaux assez longtemps pour reconstruire l'exposition.
Le délai de détection et le délai public sont différents mais liés
The Guardian a rapporté que Deloitte a découvert la compromission en mars 2017 et que les attaquants avaient peut-être eu accès depuis l'automne précédent. Les reportages publics ont émergé en septembre 2017. Ces dates créent deux questions de calendrier. Premièrement, combien de temps les attaquants ont-ils eu un accès pratique avant la détection? Deuxièmement, combien de temps les parties affectées et le marché plus large ont-ils attendu la connaissance publique? Les réponses peuvent différer. Une entreprise peut détecter privément et notifier certains clients sans faire d'annonce publique. Cela peut être défendable dans certains cas.
Mais les preuves doivent montrer pourquoi la population de notification et le calendrier étaient appropriés.
Le délai de détection est un problème d'automatisation de la sécurité. Si un compte administrateur se connecte depuis des emplacements inhabituels, effectue des recherches larges dans les boîtes aux lettres, accède à des boîtes aux lettres sensibles, crée de nouvelles règles ou télécharge des volumes inhabituels, la plateforme devrait générer des alertes. Si les alertes se déclenchent mais ne sont pas triées, le problème est opérationnel. Si les alertes ne se déclenchent pas, le problème est l'ingénierie de détection. Si les journaux manquent, le problème est l'architecture de preuve.
Dans chaque cas, la responsabilité suit la fonction qui avait le contrôle pratique.
Le délai public est un problème de divulgation. Les cabinets de services professionnels peuvent éviter les déclarations publiques pour des raisons juridiques, de confidentialité des clients, d'application de la loi ou d'enquête. Mais plus une question majeure de données clients reste non divulguée, plus les clients qui n'ont pas été notifiés peuvent se demander si leur risque a été sous-évalué. La position rapportée de Deloitte était que très peu de clients étaient concernés et que ces clients avaient été informés. Les rapports du Guardian et de Krebs ont remis en question si la portée était aussi étroite que présentée.
Sans les critères de notification sous-jacents, les étrangers ne peuvent pas évaluer la pertinence du délai.
La pratique responsable est de conserver un dossier de décision de divulgation. Ce dossier devrait montrer quand l'incident a été détecté, quand la chronologie de l'attaquant a été estimée, quand les journaux ont été examinés, quand les clients potentiellement affectés ont été identifiés, quand les conseils juridiques et les régulateurs ont été consultés, quand les avis ont été envoyés, quand la déclaration publique a été approuvée et quelle définition de client affecté a été utilisée. Si des preuves ultérieures modifient la portée, le dossier devrait montrer comment la firme a mis à jour les notifications.
C'est là que la culture d'audit devrait aider. Deloitte est un réseau d'audit et de conseil. Il comprend les preuves, l'échantillonnage, la conception des contrôles, l'évaluation des risques et la représentation de la direction. Une compromission de données clients devrait être documentée avec la même discipline: portée, critères, preuves, exceptions, incertitude, examen, approbation et remédiation. La question inconfortable est de savoir si le dossier d'incident interne de la firme répondait à la norme de preuve qu'elle attendrait d'un client confronté à une compromission similaire.
La confidentialité des services professionnels nécessite une minimisation des données
Le moyen le plus simple de réduire l'impact d'une compromission de messagerie est de conserver moins de documents sensibles dans les emails. Ce n'est pas toujours pratique. Le travail professionnel avance rapidement, et l'email reste une couche de communication universelle. Mais un cabinet de services professionnels devrait traiter l'email comme une zone de stockage risquée, pas comme un coffre-fort client permanent.
La minimisation des données, les règles de conservation, les contrôles des pièces jointes sensibles, le chiffrement, la gestion des droits, les portails sécurisés et les référentiels classifiés peuvent réduire le rayon d'explosion d'une compromission de compte administrateur.
Les rapports du Guardian décrivaient une exposition possible de noms d'utilisateur, de mots de passe, d'adresses IP, de diagrammes architecturaux et d'informations de santé. Cet article ne vérifie pas indépendamment chaque élément. Il traite ces rapports comme des affirmations publiques qui démontrent pourquoi la classification des données importe. Si l'email contient des identifiants ou des diagrammes de sécurité, une compromission peut devenir un incident de sécurité client. S'il contient des données de santé ou personnelles, il peut devenir un incident de confidentialité.
S'il contient des documents gouvernementaux ou de secteurs réglementés, il peut devenir un incident de souveraineté et d'approvisionnement. S'il contient des preuves d'audit, il peut affecter la confiance dans le travail professionnel.
La minimisation des données est difficile car les cabinets de services professionnels conservent souvent les communications pour leur défendabilité. Ils peuvent avoir besoin d'enregistrements à des fins d'audit, juridiques, de qualité, réglementaires ou de service client. La réponse n'est pas d'effacer les preuves. C'est de stocker les enregistrements sensibles dans des systèmes où l'accès est limité à un objectif, journalisé, conservé selon une politique claire et séparable par mission. L'email ne devrait pas être l'archive par défaut pour tout ce que les clients considèrent comme le plus important.
C'est aussi un problème d'automatisation des logiciels d'entreprise. Les cabinets de services professionnels modernes s'appuient sur des plateformes de flux de travail, des systèmes de gestion documentaire, des portails clients, des fournisseurs d'identité, des systèmes de ticketing, des salles de données et des outils de collaboration. Si ces systèmes sont bien conçus, ils réduisent la dépendance à l'email et améliorent les preuves d'accès. S'ils sont mal intégrés, le personnel utilise l'email comme couche de flux de travail officieuse car c'est plus rapide. La conception de sécurité doit rencontrer le travail là où il se produit réellement.
Sinon, la politique dit que les données sensibles appartiennent à des référentiels contrôlés tandis que la réalité les laisse dans les boîtes aux lettres.
L'automatisation de la sécurité devrait soutenir cette discipline. La prévention contre la perte de données, les étiquettes de sensibilité, l'audit des boîtes aux lettres, la gestion des accès privilégiés, l'accès conditionnel, la détection des déplacements impossibles, l'audit de e-discovery, l'étiquetage de conservation et le tri automatisé des alertes ont tous de l'importance. Mais l'automatisation ne crée de responsabilité que lorsque quelqu'un possède les exceptions.
Une étiquette que les utilisateurs ignorent, une file d'alerte que personne ne révise, ou un flux de travail d'accès privilégié qui approuve automatiquement les demandes ne protège pas les clients. Cela produit de la paperasse sans contrôle.
Les limites des preuves importent car le dossier public est contesté
Le dossier Deloitte est plus contesté que certains dossiers d'incidents. The Guardian et KrebsOnSecurity ont publié des allégations basées sur des sources concernant une exposition plus large. La déclaration rapportée de Deloitte indiquait que l'examen était terminé, que très peu de clients étaient concernés et qu'aucune perturbation des activités des clients, de la capacité de Deloitte à servir les clients ou des consommateurs n'avait eu lieu. SC Media, Sky News, CBS News, Yahoo Finance's Reuters republication, CyberScoop, TechTarget, AccountingWEB àhttps://www.accountingweb.co.uk/practice/general-practice/deloitte-hit-by-major-client-email-hacket Infosecurity Magazine àhttps://www.infosecurity-magazine.com/news/deloitte-hack-exposes-confidential/ont tous contribué à la compréhension publique, mais aucun n'a fourni le dossier médico-légal privé complet.
Cela signifie que l'article honnête doit éviter deux erreurs. La première erreur est de traiter l'assurance publique étroite de Deloitte comme une preuve complète qu'aucun risque plus large n'existait. La deuxième erreur est de traiter les allégations de sources anonymes comme un fait médico-légal établi. La lentille de la responsabilité se situe entre les deux.
Elle demande quelles preuves la firme devait produire pour que les clients et les régulateurs puissent distinguer l'accès confirmé, l'accès potentiel, les données à risque, les données prises, les clients notifiés et les clients non notifiés parce que les preuves montraient qu'ils étaient hors de portée.
Les faits publics confirmés incluent que Deloitte a reconnu un accès non autorisé à une plateforme de messagerie dans des déclarations rapportées par plusieurs médias, que The Guardian et d'autres ont rapporté des préoccupations concernant l'accès administrateur et le MFA, que Deloitte a déclaré que très peu de clients étaient concernés et que les clients et autorités concernés auraient été contactés.
Les affirmations rapportées publiquement mais contestées incluent l'étendue complète du contenu du serveur, le nombre de clients dont les documents étaient présents et si la portée de l'attaquant était plus large que la description publique de Deloitte. Les inconnues incluent les journaux complets, la population finale de notification, l'accès précis aux boîtes aux lettres et pièces jointes, les actions privilégiées effectuées et les mesures correctives complètes.
Les clients ont besoin que ces catégories soient séparées. Une équipe d'approvisionnement évaluant Deloitte après l'incident ne serait pas servie par une réponse générique disant que l'affaire a été gérée. Elle aurait besoin de savoir si le MFA administratif est obligatoire, si les rôles privilégiés sont minimisés, si les journaux d'audit des boîtes aux lettres sont conservés, si les enregistrements clients sensibles sont séparés, si les équipes d'intervention reçoivent des alternatives de communication sécurisées, si les notifications d'incident sont régies par des critères écrits et si une assurance indépendante a examiné les corrections.
L'assurance client doit être reproductible
L'assurance la plus utile après une compromission de messagerie dans les services professionnels est reproductible. Un client ne devrait pas avoir à accepter une conclusion sans comprendre la méthode qui l'a produite. La firme n'a pas besoin de publier chaque nom de boîte aux lettres ou message. Elle doit expliquer comment elle est passée des preuves brutes aux décisions de notification. Quels journaux ont été collectés? Quelles actions administratives ont été examinées? Quelles boîtes aux lettres étaient dans le périmètre?
Quels termes de recherche, fenêtres temporelles, identifiants clients, référentiels de pièces jointes, règles de transfert et permissions d'applications ont été examinés? Quelles lacunes sont restées? Qui a examiné les critères? Qui a approuvé la population de notification?
L'assurance reproductible est différente d'un résumé d'incident général. Un résumé général dit qu'une partie non autorisée a accédé à une plateforme de messagerie et que très peu de clients ont été affectés.
L'assurance reproductible montre le cheminement des preuves: l'attaquant a utilisé ces comptes, depuis ces fenêtres temporelles, avec ces privilèges; ces boîtes aux lettres ont été confirmées comme consultées; ces autres boîtes aux lettres étaient accessibles mais non consultées selon les journaux conservés; ces pièces jointes contenaient ces classes de données; ces clients ont été notifiés parce que les critères correspondaient; ces clients ont été exclus parce que les preuves soutenaient l'exclusion. Plus l'intervention est sensible, plus cette distinction est importante.
Cela importe car les clients des services professionnels peuvent avoir leurs propres obligations en aval. Une banque, un hôpital, une agence gouvernementale, une entreprise publique, un cabinet d'avocats, un fournisseur de technologie ou un service public réglementé qui a envoyé des documents sensibles à Deloitte pourrait avoir besoin de décider s'il doit notifier son propre régulateur, faire pivoter les identifiants, informer son conseil d'administration, enquêter sur l'exposition tierce ou mettre à jour le risque d'approvisionnement. Il ne peut pas prendre ces décisions à partir d'une réassurance au niveau de la marque.
Il a besoin de catégories de données, de délais, de probabilité et de conseils d'action.
La reproductibilité protège également la firme. Si Deloitte ou toute firme pair peut montrer que sa population de notification de clients provenait d'un examen documenté et défendable, elle est moins exposée à la spéculation selon laquelle la portée a été choisie pour des raisons réputationnelles. Si l'examen contient de l'incertitude, nommer cette incertitude peut encore être crédible. Par exemple, une firme peut dire que les journaux étaient complets pour une période et incomplets pour une autre, et que les notifications ont été élargies là où les preuves ne soutenaient pas l'exclusion.
C'est plus difficile à dire que "peu de clients ont été affectés", mais c'est une responsabilité plus forte.
Le package d'assurance devrait également être mis à jour après la remédiation. Les clients devraient apprendre non seulement ce qui s'est passé, mais ce qui a changé: MFA administrateur, accès conditionnel, gestion des accès privilégiés, journalisation d'audit, conservation, étiquetage de sensibilité, portails sécurisés, surveillance des règles de messagerie, gouvernance du consentement des applications et procédures de notification d'incident.
Les preuves devraient être suffisamment spécifiques pour que l'équipe de sécurité d'un client puisse décider s'il faut continuer à envoyer des travaux sensibles via les mêmes canaux ou exiger un modèle de collaboration différent.
Ce qu'une réparation durable devrait prouver
Une réparation durable après une compromission du système de messagerie devrait d'abord prouver le renforcement de l'identité. Chaque rôle administratif devrait être inventorié, justifié, protégé par un MFA fort, surveillé et limité dans le temps si possible. Les comptes administrateur partagés devraient être éliminés ou étroitement contrôlés. Les comptes de secours devraient être séparément protégés et journalisés. L'accès conditionnel devrait évaluer l'emplacement, l'état de l'appareil, le risque et la sensibilité du rôle.
Le consentement administratif et l'accès aux applications devraient être examinés car la persistance dans le cloud survit souvent à de simples réinitialisations de mot de passe.
Deuxièmement, une réparation durable devrait prouver la délimitation des boîtes aux lettres. La firme devrait pouvoir reconstruire quelles boîtes aux lettres ont été consultées, fouillées, déléguées, exportées ou modifiées. Elle devrait identifier quelles pièces jointes, dossiers et plages temporelles ont été affectés. Elle devrait examiner les règles de transfert, les règles de boîte de réception, les règles de transport, les recherches de e-discovery, les permissions de boîte aux lettres, les sessions mobiles et les jetons d'application.
Si les journaux sont incomplets, le dossier de réparation devrait le dire et expliquer comment l'incertitude a affecté la notification des clients.
Troisièmement, une réparation durable devrait prouver la classification des données clients. La firme devrait savoir quels clients, missions, juridictions et catégories de données étaient présents dans les boîtes aux lettres affectées. Cela nécessite un meilleur indexage que de se fier à la mémoire des employés. Cela nécessite des identifiants de mission, des étiquettes de conservation, des étiquettes de sensibilité, des liens vers des référentiels sécurisés et des cartes de données. Sans classification, la notification devient lente et subjective.
Quatrièmement, une réparation durable devrait prouver la gouvernance des communications. Les avis aux clients devraient indiquer ce qui s'est passé, quels types de données étaient impliqués ou potentiellement impliqués, quelles preuves soutiennent la portée, quelle action client est recommandée, ce que la firme a fait et ce qui reste inconnu. Les régulateurs devraient recevoir des informations opportunes et précises là où les seuils légaux s'appliquent. Les déclarations publiques ne devraient pas utiliser une large réassurance d'une manière qui obscurcit l'incertitude.
Cinquièmement, une réparation durable devrait prouver la surveillance. Une firme devrait démontrer que les actions de boîte aux lettres privilégiées génèrent des alertes, que les alertes sont triées par des analystes formés, que les incidents sont escaladés aux équipes juridiques et clients, et que les règles de détection sont testées. L'automatisation de la sécurité devrait montrer des résultats: temps réduit pour détecter, privilège administratif permanent réduit, moins de pièces jointes sensibles non classifiées et une délimitation client plus rapide.
Sixièmement, une réparation durable devrait prouver la gouvernance au niveau du partenariat et de l'équivalent du conseil d'administration. Les cabinets de services professionnels ont des structures de leadership complexes. La responsabilité devrait identifier qui possède le risque de messagerie, qui possède la confidentialité des clients, qui possède la protection des données, qui possède les opérations cyber, qui approuve l'avis public et qui vérifie la remédiation. Sans propriétaires nommés, la confidentialité peut devenir la valeur de tout le monde et le contrôle de personne.
Le contre-factuel n'est pas l'absence d'email; c'est un email délimité avec une administration prouvable
Il serait irréaliste de dire qu'un cabinet de services professionnels ne devrait pas utiliser l'email pour le travail client. Le meilleur contre-factuel est un email délimité. Le travail sensible peut toujours impliquer des emails, mais l'accès privilégié est minimisé, les documents à haut risque sont déplacés vers des référentiels contrôlés, les données clients sont étiquetées, l'activité des boîtes aux lettres est journalisée, les administrateurs utilisent un MFA fort, les recherches larges sont surveillées, la conservation est régie et la délimitation des incidents peut être effectuée rapidement.
Le contre-factuel inclut également le choix du client. Les clients devraient savoir si leurs missions les plus sensibles nécessitent des portails sécurisés, du chiffrement, des locataires séparés, des espaces de collaboration dédiés ou une conservation plus stricte. Certains clients peuvent accepter des emails ordinaires pour les communications de routine. D'autres, en particulier les clients gouvernementaux, de santé, financiers, juridiques, de fusions, de cybersécurité et réglementés, peuvent avoir besoin de contrôles plus forts.
Un cabinet de services professionnels ne devrait pas faire ce choix silencieusement en laissant tout le travail transiter par la même plateforme de messagerie large.
Le contre-factuel inclut un meilleur modèle de notification. Au lieu de s'appuyer sur des affirmations publiques selon lesquelles peu de clients ont été affectés, la firme peut donner aux clients une explication structurée: l'attaquant a accédé à ces systèmes, ces journaux ont été examinés, ces boîtes aux lettres ont été confirmées comme consultées, ces catégories de données étaient présentes, ces clients sont notifiés parce que les critères correspondaient, ces clients ne sont pas notifiés parce que les preuves les excluent, et ces contrôles ont changé après l'incident.
Ce modèle respecte la confidentialité tout en donnant aux clients suffisamment de preuves pour gouverner leur propre risque.
Enfin, le contre-factuel inclut l'humilité. Une firme qui conseille les autres sur le risque devrait reconnaître que ses propres systèmes peuvent échouer et devrait rendre les preuves de réparation visibles aux parties prenantes appropriées. La confiance n'est pas restaurée par la réputation seule. Elle est restaurée par un dossier que les clients peuvent examiner, les régulateurs peuvent tester et les dirigeants internes peuvent utiliser pour prévenir la récurrence.
La responsabilité suit le contrôle sur l'accès privilégié, la délimitation et la notification
L'allocation finale de la responsabilité devrait suivre le contrôle pratique. Deloitte contrôlait la configuration de l'environnement de messagerie, les privilèges administrateur, les exigences d'authentification, la journalisation, la conservation, la classification des données clients, l'examen des incidents, les avis aux clients, les déclarations publiques et la remédiation. Les fournisseurs de plateforme cloud contrôlaient les fonctionnalités de la plateforme et l'infrastructure, mais pas la conception des privilèges de la firme ni l'utilisation des données clients.
Les clients contrôlaient certains choix sur ce qu'ils envoyaient, mais ils ne contrôlaient pas l'administration des boîtes aux lettres de Deloitte. Les journalistes ne contrôlaient le récit public qu'après que les choix de preuves et de notification de la firme avaient déjà été faits.
Cette allocation ne nécessite pas de supposer la pire version de chaque allégation de source. Elle nécessite de reconnaître que la charge de la preuve incombe à la firme qui avait accès aux journaux et aux dossiers clients. Si très peu de clients ont été impactés, la firme devrait pouvoir montrer la logique de délimitation privément. Si un accès plus large était possible mais non prouvé, la firme devrait dire comment l'incertitude a été gérée. Si le MFA administrateur était absent ou insuffisant, la réparation devrait rendre l'accès privilégié structurellement plus difficile à compromettre.
Si l'email contenait des documents clients sensibles, la gouvernance des données devrait réduire le futur rayon d'explosion des boîtes aux lettres.
La compromission du système de messagerie de Deloitte en 2017 reste importante car elle a condensé plusieurs risques d'entreprise modernes en un seul cas: administration de messagerie cloud, accès privilégié, confidentialité professionnelle, données clients transfrontalières, connaissance publique tardive et portée de notification contestée. L'incident n'est pas seulement une histoire sur un compte ou une plateforme. C'est un rappel que les systèmes de communication internes deviennent une infrastructure client lorsque les clients confient leurs travaux les plus sensibles à un cabinet de services professionnels.
La leçon durable est que la notification des données clients doit être fondée sur des preuves. Une firme ne restaure pas la confiance en disant que peu de clients ont été affectés. Elle restaure la confiance en prouvant comment elle le sait, en informant les bons clients assez rapidement pour agir et en réparant les contrôles qui ont rendu la question si difficile à répondre.

