Impact sur la confiance des fournisseurs et la vérification des certifications

Ce cas met en évidence les vulnérabilités auxquelles les organisations sont confrontées lorsqu’elles s’appuient sur des certifications tierces. Cette certification frauduleuse suscite de sérieuses inquiétudes chez les DSI et les responsables informatiques qui dépendent de centres de données certifiés pour garantir la tolérance aux pannes et la sécurité des données critiques.

« Avec cet épisode, les organisations devront aller plus loin pour vérifier les informations d’identification, y compris les certifications, d’un nouveau fournisseur sur le marché. Un contrôle rapide du nom de l’autorité de certification aidera à connaître l’authenticité probable de la demande de certification », a déclaré Abhishek Gupta, CIO de la principale chaîne de télévision par satellite indienne DishTV.

Les DSI s’appuient souvent sur plusieurs sources lorsqu’ils évaluent de nouveaux partenaires de centres de données. Les références clients, les visites physiques sur site et la validation informelle via la communauté DSI font partie du processus.

« Même aujourd’hui, les responsables informatiques tentent d’évaluer les performances réelles d’un nouveau prospect avant de l’intégrer en tant que partenaire de centre de données », a ajouté Gupta. « Bien que les certifications soient importantes pour évaluer le niveau de tolérance aux pannes, des mesures supplémentaires, telles que la vérification de la légitimité de l’autorité de certification, gagneront probablement en importance. »

« Les certifications de niveau pour les centres de données sont utilisées depuis longtemps comme référence en matière de fiabilité et de résilience », a déclaré Saurabh Gugnani, directeur et responsable de la cyberdéfense, de l’IAM et de la sécurité des applications au sein de la société de services professionnels néerlandaise TMF Group. Le centre de données ne parvient pas à atteindre les niveaux de service promis ou subit une panne majeure, cela pourrait affecter la crédibilité de ces certifications.

L’authenticité de la certification ne représente qu’une plus petite partie de la prise de décision finale globale, a déclaré Gupta. Selon lui, cet épisode ne devrait pas changer la méthodologie d’évaluation.