Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

L’auditeur PCI de Target attaqué en justice

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur L’auditeur PCI de Target attaqué en justice

La société Trustwave, qui a audité la chaîne américaine Target peu avant le piratage majeur dont elle a été victime en décembre dernier, est attaquée en justice par plusieurs banques émettrices des cartes bancaires dérobées.

Au total près d’une centaine de banques et de clients auraient déjà décidé de poursuivre Target. Dans l’un des cas, rapporté par Reuters, deux banques veulent poursuivre à la fois Target et Trustwave, son auditeur PCI-DSS.

Ce dernier se présente comme un spécialiste de l’audit PCI et aurait, selon les banques, audité Target en septembre 2013, soit deux mois avant le piratage. Sans y détecter de vulnérabilité.

L’affaire pose évidemment la question de la responsabilité des auditeurs (obligation de moyens ou de résultat ?). S’il semble peu réaliste d’imposer une obligation de résultat, les sommes en jeu pourraient malgré tout mettre l’auditeur dans une position délicate (on parle d’un milliard de dollars de frais pour l’ensemble des banques concernées, et jusqu’à 18 milliards de dollars pour les banques et les marchands si l’on prend en compte les fraudes qui devraient suivre).

Outre la responsabilité de l’auditeur PCI, les débats porteront probablement aussi sur le rôle joué par les propres équipes de sécurité de Target, par l’un de ses sous-traitants, et même par la solution FireEye installée chez Target. Celle-ci aurait en effet correctement identifié un binaire malveillant inconnu peu avant la découverte de l’attaque, mais les équipes ignoraient habituellement les alertes de ce type car trop nombreuses.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.