En termes de sensibilisation aux cyber risques, nous avons en France la chance d’avoir plusieurs organismes comme l’ANSSI qui diffusent de bonnes pratiques. Au niveau de la mise en œuvre de ces bonnes pratiques, il arrive que ça pèche. Voici le second article d’une série illustrant le pire rencontré lors de nos audits cyber.
Cet article illustre le cas du compte obsolète d’un collaborateur ayant démissionné depuis deux ans d’un cabinet en conseil juridique d’une quarantaine de collaborateurs.
Nous commençons toujours un audit informatique par une collecte d’informations : schéma de principe du système d’information, charte des utilisateurs, politique de sécurité, prénom et nom des collaborateurs, … Ces informations sont recoupées avec une analyse précise de la société auditée.
Dans ce cabinet juridique, nous avons noté sur un serveur la présence d’un compte actif non répertorié dans les informations données par le prestataire informatique. Nous demandons au prestataire puis aux associés la raison de l’utilisation de ce compte. La seule réponse est que ce collaborateur est parti depuis deux ans. Un complément d’analyse démontre que le compte est utilisé depuis un ordinateur extérieur au cabinet…
A ce stade, tout devient explosif ! Les associés veulent immédiatement porter plainte contre le nouveau cabinet de l’ancien collaborateur pour piratage informatique, violation du secret professionnel, vol de données confidentielles, …
Nous demandons au prestataire informatique pourquoi l’ancien collaborateur peut toujours accéder au système d’information de son client. La réponse nous est donnée du bout des lèvres : « c’est sans doute un oubli de notre part… ».
La suite de nos investigations a permis de faire redescendre la pression. L’ancien collaborateur préférait tout simplement utiliser les outils informatiques de son ancien cabinet. Les logiciels informatiques de son nouveau cabinet étaient pour lui moins performants et il n’avait, de plus, pas eu de formation. Au final, personne ne lui a jamais dit que c’était interdit d’utiliser les outils de son ancien cabinet et personne ne lui a jamais empêché de le faire. Ancien et nouvel employeur, personne n’était au courant de cette situation.
La note finale de notre rapport a été très basse et une multitude de points ont été inscrits au plan d’action d’hygiène informatique de la société :
- Absence de gestion informatique du départ d’un collaborateur.
- Absence de charte utilisateur qui permet de fixer les règles d’utilisation du système d’information.
- Absence de mise en place par le prestataire des règles fondamentales de cybersécurité.
- …
Thierry Veyre, concepteur de Sunbren
Episode 1 : avoir l’idée d’une sauvegarde c’est bien, la faire régulièrement c’est mieux
Sunbren pour votre entreprise
Entrez en contact dès maintenant avec notre équipe commerciale pour définir avec elle la solution Sunbren optimisée pour votre entreprise.
Articles récents
Arnaque au faux RIB : TPE et PME prises pour cible
En 2019, la dernière année avant la crise sanitaire, 7 entreprises françaises sur 10 ont été la cible d’au moins une tentative de fraude sur fond de délinquance financière selon le ministère de l’Intérieur. Heuler Hermes DFCG a réalisé une étude similaire en 2021,...
UE : le mécanisme de notifications des incidents cyber peut mieux faire
Créée en 2004, l’Agence européenne chargée de la sécurité des réseaux de l’information ou ENISA est censée être bien rodée et fonctionner en plein régime à l’heure actuelle. Il n’en est rien ! À une époque ou nous avons plus que jamais besoin d’une structure fiable...
Cybersécurité et industrie pharmaceutique
L’industrie pharmaceutique française a connu un passage à vide qui a duré une quinzaine d’années. Période pendant laquelle notre secteur pharmaceutique a perdu sa place de leader européen en termes de production, malgré un total de 271 sites en activité sur tout le...