En termes de sensibilisation aux cyber risques, nous avons en France la chance d’avoir plusieurs organismes comme l’ANSSI qui diffusent de bonnes pratiques. Au niveau de la mise en œuvre de ces bonnes pratiques, il arrive que ça pèche. Voici le quatrième article d’une série illustrant le pire rencontré lors de nos audits cyber.

 

Cet article illustre le cas d’une infrastructure spontanée sous la forme d’une borne sans fil installée par un collaborateur dans une salle de réunion.

Une infrastructure spontanée est un détournement des règles de fonctionnement d’un système d’information par un utilisateur sans que ce dernier en informe son référent informatique, prestataire en l’occurence en l’absence de DSI. Elle prend souvent la forme de l’installation d’un matériel (borne sans fil, …), d’un logiciel (visionneuse vidéo, logiciel pirate, …) ou d’un contournement des règles de sécurité du système d’information (échange de mot de passe, …).

Le dirigeant de la société concernée nous a demandé de réaliser un audit de sécurité. Cette société est spécialisée en mécanique de précision et possède plusieurs brevets à l’international. Notre audit a, une fois n’est pas coutume, fait ressortir une PSSI efficace à l’exception du point suivant.

Dans une salle de réunion, une borne sans fil non sécurisée permet à tout à chacun de se connecter au réseau de l’entreprise. Cette borne, achetée dans une grande surface locale, a été installée par un collaborateur pour ne « plus avoir à gérer le nombre insuffisant de câbles réseaux RJ45 ». Ce collaborateur possédant un certain pouvoir de décision a déployé la borne sans fil sans prévenir sa direction et le prestataire informatique.

Cette non-conformité a rapidement été corrigée mais à mis à mal tout le travail effectué de sécurisation du système d’information préalablement effectué et prouvé une fois de plus que la faille en matière d’hygiène informatique et de cybersécurité est le plus souvent humaine.