En termes de sensibilisation aux cyber risques, nous avons en France la chance d’avoir plusieurs organismes comme l’ANSSI qui diffusent de bonnes pratiques. Au niveau de la mise en œuvre de ces bonnes pratiques, il arrive que ça pèche. Voici le second article d’une série illustrant le pire rencontré lors de nos audits cyber.
Cet article illustre le cas du compte obsolète d’un collaborateur ayant démissionné depuis deux ans d’un cabinet en conseil juridique d’une quarantaine de collaborateurs.
Nous commençons toujours un audit informatique par une collecte d’informations : schéma de principe du système d’information, charte des utilisateurs, politique de sécurité, prénom et nom des collaborateurs, … Ces informations sont recoupées avec une analyse précise de la société auditée.
Dans ce cabinet juridique, nous avons noté sur un serveur la présence d’un compte actif non répertorié dans les informations données par le prestataire informatique. Nous demandons au prestataire puis aux associés la raison de l’utilisation de ce compte. La seule réponse est que ce collaborateur est parti depuis deux ans. Un complément d’analyse démontre que le compte est utilisé depuis un ordinateur extérieur au cabinet…
A ce stade, tout devient explosif ! Les associés veulent immédiatement porter plainte contre le nouveau cabinet de l’ancien collaborateur pour piratage informatique, violation du secret professionnel, vol de données confidentielles, …
Nous demandons au prestataire informatique pourquoi l’ancien collaborateur peut toujours accéder au système d’information de son client. La réponse nous est donnée du bout des lèvres : « c’est sans doute un oubli de notre part… ».
La suite de nos investigations a permis de faire redescendre la pression. L’ancien collaborateur préférait tout simplement utiliser les outils informatiques de son ancien cabinet. Les logiciels informatiques de son nouveau cabinet étaient pour lui moins performants et il n’avait, de plus, pas eu de formation. Au final, personne ne lui a jamais dit que c’était interdit d’utiliser les outils de son ancien cabinet et personne ne lui a jamais empêché de le faire. Ancien et nouvel employeur, personne n’était au courant de cette situation.
La note finale de notre rapport a été très basse et une multitude de points ont été inscrits au plan d’action d’hygiène informatique de la société :
- Absence de gestion informatique du départ d’un collaborateur.
- Absence de charte utilisateur qui permet de fixer les règles d’utilisation du système d’information.
- Absence de mise en place par le prestataire des règles fondamentales de cybersécurité.
- …
Thierry Veyre, concepteur de Sunbren
Episode 1 : avoir l’idée d’une sauvegarde c’est bien, la faire régulièrement c’est mieux
Sunbren pour votre entreprise
Entrez en contact dès maintenant avec notre équipe commerciale pour définir avec elle la solution Sunbren optimisée pour votre entreprise.
Articles récents
Que retenir de la keynote de rentrée Apple ?
Comme à son habitude, la Keynote d’Apple été attendue de pied ferme par les amateurs de la marque à la pomme et les passionnés de nouvelles technologies en général. De l’Apple Watch à l’Apple One en passant par l’iPad Air 4 et l’iPad 8, voici un petit tour d’horizon...
Garmin se sort d’un ransomware grâce à un décrypteur
Si vous êtes en possession d’une montre estampillée Garmin ou si vous êtes un utilisateur régulier des services connectés de l’équipementier américain, vous avez surement rencontré quelques désagréments ces derniers jours. L’entreprise déclare avoir été victime d’une...
Le malware Cerberus déjoue la sécurité de Google Play
Découvert il y a un an, le cheval de Troie bancaire Cerberus fait toujours parler de lui. Depuis quelques jours, il est passé entre les mailles du filet de sécurité de Google Play. Le malware a été dissimulé dans une application de conversion de devises pour...