Malgré sa taille et sa complexité, la FTC s’est plainte du fait que l’entreprise n’avait pas respecté plusieurs normes de sécurité qui devaient être corrigées immédiatement.
Le géant de l’hébergement Web GoDaddy a été critiqué par la Federal Trade Commission (FTC) des États-Unis pour ses pratiques de sécurité laxistes, depuis au moins janvier 2018, avec l’ordre de mettre en œuvre immédiatement un programme de sécurité de l’information plus strict.
Une plainte de la FTC signée par cinq commissaires accusait le principal registraire de domaines de manquer de pratiques de sécurité standard pour garantir la sécurité des données d’hébergement.
« Depuis 2018, GoDaddy a violé l’article 5 de la loi FTC en ne mettant pas en œuvre des outils et des pratiques de sécurité standard pour protéger l’environnement dans lequel il héberge les sites Web et les données des clients, et pour le surveiller contre les menaces de sécurité. »
La plainte ajoute que GoDaddy a échoué dans ses pratiques de sécurité critiques, ce qui rend ses affirmations en matière de sécurité trompeuses.
Tout un tas de failles de sécurité
La FTC a jugé le programme de sécurité des données de GoDaddy inadéquat et déraisonnable pour une « entreprise de sa taille et de sa complexité ».
Les accusations d’échec critiquées par la FTC incluent des domaines tels que la gestion des stocks et des actifs, les mises à jour logicielles, l’évaluation des risques, la mise en œuvre de l’AMF, la journalisation des événements de sécurité, la surveillance des menaces, la segmentation du réseau et l’établissement de connexions sécurisées aux données des consommateurs.
« En raison des failles de sécurité des données de GoDaddy, l’entreprise a connu plusieurs compromissions majeures de ses services d’hébergement entre 2019 et décembre 2022, au cours desquelles des acteurs malveillants ont accédé à plusieurs reprises aux sites Web et aux données de ses clients, causant un préjudice à ses clients et les mettant ainsi que les visiteurs. à leurs sites Web risquant de subir des dommages supplémentaires », a noté la FTC.
Au cours de la période de sécurité présumée laxiste, GoDaddy a été confronté à un certain nombre d’incidents de sécurité, notamment la violation de données gérée par WordPress en 2021 et l’attaque de logiciels malveillants cPanel en 2022, que la société a confirmé plus tard comme étant une campagne de piratage pluriannuelle ciblant son infrastructure. .
S’en sort facilement
Au lieu de se retrouver dans une multitude de problèmes pour avoir prétendument échoué à la sécurité à une telle échelle, GoDaddy semble avoir été laissé pour compte puisque les commissaires ont décidé d’accorder une pause de 90 jours pour mettre en œuvre certains changements de sécurité.
Dans une proposition d’ordonnance de règlement, la FTC a exigé que GoDaddy, dans les 90 jours suivant la finalisation de l’ordonnance, établisse, mette en œuvre et maintienne par la suite un programme complet de sécurité des informations.
L’entreprise est en outre tenue de documenter et de mettre régulièrement à jour son programme de sécurité des informations, en le fournissant aux organes directeurs concernés au moins une fois par an et après tout incident de sécurité important. Il doit désigner un employé qualifié pour superviser ce programme et évaluer les risques pour la sécurité et la confidentialité, en mettant à jour ses conclusions chaque année et après les incidents.
GoDaddy a également été invité à mettre en œuvre des mesures de protection pour atténuer les risques, maintenir les inventaires du système, utiliser des outils automatisés pour l’analyse de sécurité en temps réel, gérer les journaux d’audit et garantir des méthodes d’authentification sécurisées (MFA), avec des mises à jour régulières pour s’aligner sur les normes de l’industrie et les incidents passés.
La FTC a déclaré qu’elle publierait l’accord de consentement dans le Federal Register pour une période de commentaires publics de 30 jours, après quoi elle déciderait de finaliser l’ordonnance. Les instructions et les commentaires seront sur Règlements.gov.
L’ordonnance de règlement indiquait également que GoDaddy n’avait ni admis ni nié aucune des allégations contenues dans la plainte, mais avait reconnu l’ordonnance et s’était déclaré prêt à l’exécuter.
Un porte-parole de GoDaddy a déclaré que la société avait déjà mis en œuvre un certain nombre d’exigences de l’accord de règlement avec la FTC.
