En termes de sensibilisation aux cyber risques, nous avons en France la chance d’avoir plusieurs organismes comme l’ANSSI qui diffusent de bonnes pratiques. Au niveau de la mise en œuvre de ces bonnes pratiques, il arrive que ça pèche. Voici le premier article d’une série illustrant le pire rencontré lors de nos audits cyber.
Cet article illustre le cas de la sauvegarde d’un cabinet en conseil juridique d’une vingtaine de collaborateurs.
La sauvegarde se résumait en fait à deux disques durs (les fameux disques « semaine paire » et « semaine impaire ») qu’un collaborateur avait en charge de débrancher et brancher le lundi matin sur le serveur installé… sous un chauffe-eau… « L’opérateur de sauvegarde » avait comme consigne, non formalisée par écrit, de stocker le disque dur non branché dans la boite à gant de sa voiture. Une rapide analyse des disques durs a démontré qu’ils n’étaient pas chiffrés, c’est-à-dire que n’importe qui en possession d’un de ces disques pouvaient accéder à la totalité des dossiers du cabinet.
Le meilleur restait néanmoins à venir : en suivant le câble du disque dur, nous nous sommes rendu compte que ce dernier n’était pas raccordé au port USB du serveur ! Vous avez bien lu : le câble USB pendait dans le vide ! Le prestataire est immédiatement convoqué par les associés. Il arrive une heure après et devrait logiquement passer un mauvais moment Après deux blagues et une explication du type
« je me souviens : il y a six mois, mon technicien a changé le pilote du photocopieur. Comme le pilote était sur une clé USB, il a dû oublier de rebrancher le câble de la sauvegarde. Finalement, nous n’en avons pas eu besoin. Ce n’est donc pas grave. ».
Nous lui demandons si le fait que la sauvegarde ne soit pas supervisée, c’est-à-dire qu’elle n’envoie pas de rapport n’est aussi « pas grave ». Il repart sans nous répondre mais avec les vifs remerciements des associés pour cette mission rondement remplie.
Pour finir, nous avons mis la note de 6/40 au système d’information de ce cabinet d’avocat. Le rapport d’audit préconisait, entre autres, la mise en œuvre très urgente du kit de survie MMS (Mises à jour, Mots de passe complexes et Sauvegarde).
Six mois plus tard, ils nous ont rappelé : un cryptovirus avait chiffré la totalité de leur système d’information… Ils tenaient vivement à nous remercier car grâce à une sauvegarde supervisée et efficace comme recommandée dans notre rapport d’audit, leurs données avaient pu être restaurées et ils avaient pu continuer leur activité.
Par Thierry Veyre, concepteur de Sunbren
Sunbren pour votre entreprise
Entrez en contact dès maintenant avec notre équipe commerciale pour définir avec elle la solution Sunbren optimisée pour votre entreprise.
Articles récents
Quid de la cybersécurité à l’ère des ordinateurs quantiques ?
Longtemps resté une simple idée de physicien, l’ordinateur quantique, qui promet de révolutionner le calcul, devient une réalité de plus en plus tangible. Dans quelques années, les premières machines capables de surpasser les ordinateurs classiques devraient faire...
lire plus
A l’ère du SaaS ou logiciel en tant que service
L’évidence du cloud Selon les résultats d’une étude menée par IDC, les professionnels ayant besoin d’un environnement IT performant pour mener à bien leur mission quotidienne consacrent 1/6ème de leur temps de travail à la recherche des informations dont ils ont...
lire plus
Machine à café et générateur de mot de passe
En termes de sensibilisation aux cyber risques, nous avons en France la chance d’avoir plusieurs organismes comme l’ANSSI qui diffusent de bonnes pratiques. Au niveau de la mise en œuvre de ces bonnes pratiques, il arrive que ça pèche. Voici le cinquième article d’une...
lire plus