En termes de sensibilisation aux cyber risques, nous avons en France la chance d’avoir plusieurs organismes comme l’ANSSI qui diffusent de bonnes pratiques. Au niveau de la mise en œuvre de ces bonnes pratiques, il arrive que ça pèche. Voici le second article d’une série illustrant le pire rencontré lors de nos audits cyber.
Cet article illustre le cas du compte obsolète d’un collaborateur ayant démissionné depuis deux ans d’un cabinet en conseil juridique d’une quarantaine de collaborateurs.
Nous commençons toujours un audit informatique par une collecte d’informations : schéma de principe du système d’information, charte des utilisateurs, politique de sécurité, prénom et nom des collaborateurs, … Ces informations sont recoupées avec une analyse précise de la société auditée.
Dans ce cabinet juridique, nous avons noté sur un serveur la présence d’un compte actif non répertorié dans les informations données par le prestataire informatique. Nous demandons au prestataire puis aux associés la raison de l’utilisation de ce compte. La seule réponse est que ce collaborateur est parti depuis deux ans. Un complément d’analyse démontre que le compte est utilisé depuis un ordinateur extérieur au cabinet…
A ce stade, tout devient explosif ! Les associés veulent immédiatement porter plainte contre le nouveau cabinet de l’ancien collaborateur pour piratage informatique, violation du secret professionnel, vol de données confidentielles, …
Nous demandons au prestataire informatique pourquoi l’ancien collaborateur peut toujours accéder au système d’information de son client. La réponse nous est donnée du bout des lèvres : « c’est sans doute un oubli de notre part… ».
La suite de nos investigations a permis de faire redescendre la pression. L’ancien collaborateur préférait tout simplement utiliser les outils informatiques de son ancien cabinet. Les logiciels informatiques de son nouveau cabinet étaient pour lui moins performants et il n’avait, de plus, pas eu de formation. Au final, personne ne lui a jamais dit que c’était interdit d’utiliser les outils de son ancien cabinet et personne ne lui a jamais empêché de le faire. Ancien et nouvel employeur, personne n’était au courant de cette situation.
La note finale de notre rapport a été très basse et une multitude de points ont été inscrits au plan d’action d’hygiène informatique de la société :
- Absence de gestion informatique du départ d’un collaborateur.
- Absence de charte utilisateur qui permet de fixer les règles d’utilisation du système d’information.
- Absence de mise en place par le prestataire des règles fondamentales de cybersécurité.
- …
Thierry Veyre, concepteur de Sunbren
Episode 1 : avoir l’idée d’une sauvegarde c’est bien, la faire régulièrement c’est mieux
Sunbren pour votre entreprise
Entrez en contact dès maintenant avec notre équipe commerciale pour définir avec elle la solution Sunbren optimisée pour votre entreprise.
Articles récents
Du selfie au deepfake avec Zao
Quand l’on évoque la Chine et la technologie, on pense rapidement aux GAFA et BATX et à la guerre commerciale entre Washington et Pékin. Mais aujourd’hui ce n’est ni Facebook ni Huawei qui font l’actu, mais Zao, la nouvelle application star en Chine. A peine sortie,...
lire plus
La santé connectée face aux cyber-menaces
Hyperconnexion et data de valeurs caractérisent les hôpitaux et la santé du XXIème siècle. Un atout indéniable au service de la médecine personnalisée, mais un handicap notable dans la lutte contre les hackers : vols de données de santé, piratage d’implants connectés...
lire plus
Hacking indirect et responsabilité du dirigeant d’entreprise
La presse relate souvent les péripéties des dirigeants et de leur entreprise qui ont été pris en otages par des cyberpirates avec un ransomware. Ce type d’attaque ne représente pourtant qu’un faible pourcentage des cybermenaces. Le risque d’utilisation frauduleuse...
lire plus