23 novembre — Les désagréments immédiats liés à la récente panne de réseau d’Hannaford sont terminés : les clients peuvent à nouveau commander des produits d’épicerie en passant par le site Web de l’entreprise et utiliser leur carte de crédit pour acheter de la nourriture et des médicaments dans la plus grande chaîne de supermarchés du Maine.
Mais deux semaines après le crash des systèmes en ligne d’Hannaford et l’annonce par sa société mère, Ahold Delhaize USA, qu’elle avait « récemment détecté un problème de cybersécurité », on ne sait toujours pas exactement à quel point le problème est dangereux et si les informations des clients ou des employés ont été compromises.
Ahold Delhaize USA a publié un communiqué le 8 novembre indiquant qu’il enquêtait en interne avec des experts en cybersécurité et avait informé les forces de l’ordre. Hannaford a refusé à plusieurs reprises de dire quelle agence était en charge de l’affaire.
« Nous continuons à travailler avec des experts en sécurité tiers de premier plan dans le cadre de ce processus, et nous avons informé et travaillons avec les forces de l’ordre sur ce problème », a déclaré la porte-parole d’Hannaford, Ericka Dodge. « L’enquête étant en cours, nous ne sommes pas en mesure de divulguer davantage de détails pour le moment. »
Hannaford compte 9 500 employés dans 68 magasins dans le Maine et environ 30 000 employés dans 189 magasins dans le Maine, le New Hampshire, le Vermont, le Massachusetts et New York.
La situation est « fortement évocatrice d’une attaque de ransomware », a déclaré Brian Ray, fondateur et directeur du Centre pour la cybersécurité et la protection de la vie privée à la faculté de droit de l’Université d’État de Cleveland. « Quelque chose d’assez dramatique s’est produit parce qu’ils ont dû mettre les systèmes hors ligne ou qu’ils étaient déjà hors ligne à cause d’une attaque », a-t-il déclaré.
Il est assez courant que les entreprises retardent la communication d’informations au public jusqu’à ce qu’elles connaissent l’étendue du problème – même si elles doivent agir aussi rapidement que possible, selon Ray.
Le FBI répond et conseille
Vendredi, ni Ahold Delhaize ni Hannaford n’avaient signalé une violation de données au bureau du procureur général du Maine comme requis.
Mais la violation de données est un terme spécifique indiquant que des informations numériques ont été compromises, a déclaré Ray, et les enquêteurs travaillant sur l’affaire Ahold Delhaize ne sont peut-être pas encore parvenus à cette conclusion.
Ray a déclaré que le FBI est « presque certainement » l’agence qui mène l’enquête. Il dispose d’un solide système national d’équipes spécialisées dans le suivi et la réponse aux « acteurs internationaux de la menace » en ligne et aux divers impacts lorsque les systèmes en ligne sont compromis, a déclaré Ray.
Une attaque de ransomware est un cybercrime dans lequel un acteur extérieur infiltre un système en ligne, crypte les données de la victime, puis exige le paiement d’une rançon en échange d’une clé ou d’un code de décryptage pour retrouver l’accès aux fichiers verrouillés.
L’attaquant accède généralement via des e-mails de phishing, des liens malveillants ou des vulnérabilités logicielles.
Bien que de nombreuses institutions et entreprises disposent de logiciels anti-malware et d’autres protocoles pour prévenir les cyberattaques, ils doivent être mis à jour régulièrement pour être efficaces, et les cybercriminels recherchent constamment des failles dans les défenses du système.
De nombreuses entreprises évitent de payer la rançon pour deux raisons : elles ne veulent pas encourager les attaques contre rançon et elles ne veulent pas enfreindre la loi en soutenant potentiellement le terrorisme ou toute autre menace pour la sécurité des États-Unis.
« Le FBI encourage les entreprises depuis des années à ne pas payer de rançon », a déclaré Ray. « Les entreprises craignent d’être pénalisées par l’Office of Foreign Assets Control pour avoir fourni directement ou indirectement un soutien financier à des entités sanctionnées par le gouvernement fédéral. »
L’OFAC est une branche du Trésor américain qui applique des sanctions économiques et commerciales contre des juridictions, des régimes étrangers ciblés et d’autres menaces à la sécurité nationale, notamment les terroristes et les trafiquants internationaux de stupéfiants.
« Réagir à une cyberattaque est un processus très laborieux, compliqué et incertain, surtout lorsque votre système a été compromis », a déclaré Ray. « Tout un éventail de choses peuvent arriver. Parfois, les entreprises reçoivent une demande directe de rançon, mais pas toujours. »
LES CYBERCRIMINELS CACHENT LEURS TRACES
Les entreprises préparées activeront généralement un plan de réponse aux incidents et feront appel à des spécialistes juridiques et médico-légaux pour les aider à avancer dans le processus, a déclaré Ray. Mais au départ, on ne sait souvent pas exactement comment un système a été compromis, et les cybercriminels ont l’habitude d’éviter d’être détectés.
« Les entreprises doivent éviter d’endommager davantage le système et protéger les informations contre toute compromission », a déclaré Ray. « Mais ces acteurs malveillants sont de plus en plus sophistiqués pour cacher leurs traces et rendre difficile la détermination de leur emplacement. »
Ce processus est encore plus compliqué si l’attaque implique plusieurs entités dans différents systèmes, a-t-il déclaré, ce qui pourrait être le cas d’Ahold Delhaize USA, une société belgo-néerlandaise qui comprend Hannaford et plusieurs autres chaînes de supermarchés de la côte Est.
Même si les autorités chargées de l’application des lois fédérales et étatiques exigent des entreprises qu’elles signalent les cyberattaques, elles peuvent retarder leur déclaration jusqu’à ce qu’elles sachent ce qui se passe, ce qui peut prendre des jours ou des semaines, a déclaré Ray.
« Tant que vous n’avez pas une compréhension raisonnablement sûre de ce qui s’est passé, vous ne voulez pas le signaler », a-t-il déclaré. « Vous ne voulez pas que les informations sortent au compte-goutte et embrouillent davantage les gens. »
Cependant, dès que les entreprises pensent que les informations d’un client ont été compromises, elles doivent annoncer exactement ce qui s’est passé, a déclaré Ray. Cela devrait inclure une explication des mesures prises pour remédier à la violation et des mesures que les clients doivent prendre pour protéger leurs informations.
« Le défi est de savoir quand vous en savez assez sans prendre trop de temps », a déclaré Ray.
Les entreprises peuvent cacher des informations au public parce qu’elles ne veulent pas paraître vulnérables aux cybercriminels ou compromettre les négociations de rançon, a-t-il déclaré.
Le FBI n’a pas non plus d’intérêt à ce que les divulgations publiques soient précoces et pourrait demander aux entreprises de ne pas divulguer d’informations, a déclaré Ray. Dans certains cas, l’agence a des agents intégrés aux côtés des cybercriminels et ne veut pas compromettre les enquêtes en cours, a déclaré Ray.
« C’est un jeu incroyablement sophistiqué, et vous voulez montrer que vous avez tout sous contrôle », a-t-il déclaré.
Hannaford et d’autres systèmes en ligne d’Ahold Delhaize USA ayant été affectés de manière très publique, ils n’ont pas eu le luxe de ne pas le reconnaître, a déclaré Ray.
« Il est responsable de s’assurer qu’ils maîtrisent la situation et prennent des mesures pour contenir les impacts », a-t-il déclaré. « Dans ce cas, les intérêts de l’entreprise et ceux des clients sont alignés. »
CONSTRUIRE ET MAINTENIR LA CONFIANCE
L’annonce du 8 novembre d’Ahold Delhaize a été brève, voire laconique, comparée aux efforts généralement plus sympathiques et axés sur la communauté d’Hannaford pour promouvoir des solutions d’achats alimentaires saines et permettant de gagner du temps.
« Nous nous excusons pour tout inconvénient que ce problème a pu causer à nos clients et partenaires », indique le communiqué.
Vendredi, l’annonce n’était plus publiée sur le site Internet de l’entreprise.
Mais même si le public s’est peut-être habitué aux rapports répétés sur les violations de données, les experts en relations publiques et en image de marque affirment que c’est une erreur de laisser les clients inquiets ou même de s’interroger trop longtemps sur les impacts personnels.
« La pire chose qu’une entreprise puisse faire est de sombrer dans l’obscurité », a déclaré Rich Brooks, président de Flyte New Media, une société de branding, de conception de sites Web et de marketing numérique basée à Portland.
« Dès qu’une entreprise cesse de répondre aux questions, les gens vont la remplir de n’importe quoi », a ajouté Brooks.
Les entreprises renforcent la confiance avec leurs clients au fil du temps, a-t-il déclaré, créant ainsi une banque sur laquelle elles peuvent s’appuyer en cas de problèmes. Mais il peut être difficile de regagner cette confiance.
« Tout dépend de la façon dont vous gérez cela », a déclaré Brooks. « Ils peuvent avoir des raisons très légitimes pour ne rien dire, mais ils doivent l’expliquer et dire ce qu’ils feront lorsqu’ils auront tout compris. »
Nancy Marshall, PDG de Marshall Communications, une société de relations publiques du Maine spécialisée dans la gestion de crise, a déclaré qu’Hannaford avait la chance de s’être bâti une réputation digne de confiance.
« Je comprends que le public veut savoir ce qui se passe, mais il est presque dangereux pour lui de spéculer sur ce qui se passe », a-t-elle déclaré.
Pourtant, chaque fois qu’une entreprise est confrontée à une crise dans ses relations avec la clientèle, « mon conseil est toujours de faire preuve de compassion envers les victimes », a déclaré Marshall.
Dans ce cas, les clients d’Hannaford sont des victimes potentielles d’un problème de cybersécurité, a-t-elle déclaré.
« Ils doivent les rassurer sur le fait qu’ils font absolument tout pour aller au fond des choses et s’assurer que leurs informations sont en sécurité », a déclaré Marshall.
Copiez le lien de l’histoire