En brefL’auditeur PCI de Target attaqué en justice Jerome Saiz le 27 mars 2014 à 10h33, dans la rubrique Conformité & Bonnes pratiques Commentaires fermés sur L’auditeur PCI de Target attaqué en justice conformitépci-dss La société Trustwave, qui a audité la chaîne américaine Target peu avant le piratage majeur dont elle a été victime en décembre dernier, est attaquée en justice par plusieurs banques émettrices des cartes bancaires dérobées. Au total près d’une centaine de banques et de clients auraient déjà décidé de poursuivre Target. Dans l’un des cas, rapporté par Reuters, deux banques veulent poursuivre à la fois Target et Trustwave, son auditeur PCI-DSS. Ce dernier se présente comme un spécialiste de l’audit PCI et aurait, selon les banques, audité Target en septembre 2013, soit deux mois avant le piratage. Sans y détecter de vulnérabilité. L’affaire pose évidemment la question de la responsabilité des auditeurs (obligation de moyens ou de résultat ?). S’il semble peu réaliste d’imposer une obligation de résultat, les sommes en jeu pourraient malgré tout mettre l’auditeur dans une position délicate (on parle d’un milliard de dollars de frais pour l’ensemble des banques concernées, et jusqu’à 18 milliards de dollars pour les banques et les marchands si l’on prend en compte les fraudes qui devraient suivre). Outre la responsabilité de l’auditeur PCI, les débats porteront probablement aussi sur le rôle joué par les propres équipes de sécurité de Target, par l’un de ses sous-traitants, et même par la solution FireEye installée chez Target. Celle-ci aurait en effet correctement identifié un binaire malveillant inconnu peu avant la découverte de l’attaque, mais les équipes ignoraient habituellement les alertes de ce type car trop nombreuses. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!