En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.

FERMER  x Pour en savoir plus et paramétrer les cookies...

Les « cyber indiscrétions » se multiplient en entreprise

On note une recrudescence des accès illégitimes aux informations personnelles des salariés. La sécurité se considère au cas par cas. Ne pas en tenir compte est la plus grande des erreurs.

laisser un avis
En cybersécurité, la menace vient d’abord de l’intérieur. Tous les mois, dans 100 % des grandes entreprises françaises, il y a au moins un responsable informatique qui accède à des données qui ne le regardent pas. Tel est le constat effrayant que dresse Norman Girard, vice-président Europe de Varonis, une société spécialisée dans les audits de sécurité. « Dans les grandes entreprises où nous plaçons nos sondes d’analyse du trafic, celles qui ont plusieurs dizaines d'administrateurs système, il y en a presque toujours qui dévient. Ils lisent les courriels des autres, consultent leurs répertoires personnels… », raconte-t-il. Au palmarès des indiscrétions, les informaticiens vont regarder les fiches de paie de leurs collègues. Ils sont également à l’origine des fuites à propos d’un futur plan de licenciements.

La centralisation amplifie les risques

Pour Norman Girard, les indiscrétions ont toujours existé en entreprise. Aujourd’hui, elles se généralisent car les données ne sont plus éparpillées sur les postes de travail, mais centralisées sur un serveur, plus facilement accessible. Quant à l’externalisation du système d’information, elle ne met pas plus à l’abri des indiscrétions : « Récemment, un de nos clients a lancé un appel d’offres pour changer d’hébergeur. Le sien lui a fait une première offre pour le garder. Puis, sans qu’on le lui demande, il en a fait une seconde, de loin la meilleure du marché. Nous avons découvert que le prestataire en question avait consulté la boîte aux lettres électronique qu’il héberge pour son client, afin de connaître les propositions que lui avaient envoyées ses concurrents », raconte Norman Girard.
Dans une récente étude, l’opérateur Verizon observe que les actes de piratages informatiques ont, pour la première fois en 2011, plus souvent concerné la révélation publique de secrets internes – ce que l’on appelle désormais l’hacktivisme – que le vol de données bancaires, à des fins de fraudes. Arnaud Cassagne, directeur technique de la société de services Nomios, refuse toutefois d’y voir une tendance. Selon lui, les résultats constatés par Verizon sont biaisés par le fait que les vols de données bancaires ne sont, pour la plupart, jamais connus. Il ne croit pas non plus que beaucoup d’entreprises aient à craindre que leurs collaborateurs les dénoncent sur Wikileaks : « Monter un dossier contre une entreprise en utilisant ses propres informations constitue un travail de longue haleine. Personne ne va rester trois ans chez un employeur avec l’idée de se venger de lui. Ou alors, il est mandaté par un concurrent et il s’agit d’un tout autre problème », dit-il.

Une mauvaise gouvernance des informaticiens

Si les informaticiens sont si indiscrets c’est parce que, en tant que techniciens du système d’information, on les laisse avoir accès à tout. « Lorsque nous parlons aux dirigeants des entreprises, tous sont persuadés, DSI en tête, qu’ils sont bien équipés contre les piratages puisqu’ils ont obtenu les certificats de conformité nécessaires. Ne pas savoir que la sécurité se considère au cas par cas est la plus grande erreur. Et tous la font », lance Arnaud Cassagne.
Mais les informaticiens n’ont pas le monopole des indiscrétions : d’autres salariés abusent de droits d’accès qu’ils ne devraient plus avoir. « Les entreprises attribuent régulièrement des droits à certains de leurs employés, par exemple pour une mission ponctuelle, qu’elles oublient ensuite de révoquer », constate Norman Girard. Pour y remédier, il propose d’obliger les directions métier, au moins une fois par trimestre, à revalider la liste des droits d’accès qu’elles avaient accordés.

Vrai/Faux

Il suffit d’activer les fonctions d’audit de Windows pour savoir qui accède à quoi.

FAUX. Si cette assertion est théoriquement vraie, les fonctions d’audit d’origine des systèmes d’information génèrent des fichiers texte illisibles et composés de 2 milliards de caractères par mois. Il existe en revanche des logiciels spécialisés.

En fin de contrat, les salariés partent avec des données de l’entreprise.

VRAI. Un tiers des collaborateurs quitte l’entreprise avec des données sensibles. Le phénomène est d’autant plus courant aujourd’hui qu’une seule clé USB permet de stocker l’équivalent de 15 armoires comptables.

envoyer
par mail
imprimer
l'article




Newsletter 01net. Actus

@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Ces nouveaux profils issus du numérique (4) : le nouvel expert en sécurité
Se faire rançonner ses données : une nouvelle forme de e-banditisme
Bain Capital rachète le spécialiste de la sécurité Blue Coat
Attaques ciblées, apprenez à distinguer leurs 3 finalités pour mieux y répondre
Sécurité de l’information : la dette masquée des entreprises
Sécurité, quelles tendances pour 2015 (1ère partie)
CES 2015 : une montre GPS pour enfants et un smartphone pour seniors chez Haier (vidéo)
CES 2015 : Myfox dévoile une nouvelle solution de sécurité innovante made in France (vidéo)
Entre Noël et les soldes, les réseaux des e-commerces risquent de ne pas passer l'hiver
2015 : 4 chantiers clés pour la cybersécurité
Alten lance une co-entreprise dans la cybersécurité
Phishing : une menace internationale, quelle que soit la langue
Le futur de la carte à puce se joue sans cartes
2014 : l’année qui aura vu les COMEX se mobiliser pour leur cybersécurité ?
Pourquoi pas un recyclage intelligent des briques technologiques d'Ecomouv
JTech 201 : Spécial Mondial de l’auto 2014 (vidéo)
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Apple Pay, la fin de la fraude aux cartes bancaires ?
Apple et la sécurité : une rentrée 2014 forte en actualité !
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?