Sécurité des systèmes d’information : une affaire de comportements

Publié le par Nicolas BOISVILLIERS

La sécurité des systèmes d’information constitue de nos jours un enjeu majeur. Pour autant, bien que tout le monde s’accorde sur la criticité de cette discipline, l’engagement de la part de chacun reste largement discutable. Pourtant, la sécurité est l’affaire de tous et relève bien souvent davantage du bon sens et de comportements adéquats que d’un problème technique.

 

Si pour vous "sécurité des systèmes d’information" rime avec "superfétation" (j’avoue, j’ai eu du mal à le trouver celui-là ^ ^), laissez-moi vous conter quelques anecdotes de la vie de tous les jours, issues de ma propre expérience professionnelle, qui sauront vous prouver le contraire.

 

L’affaire du faux ingénieur

Un homme discute sur son mobile d’un projet interne devant l’entrée de son lieu de travail. Un collaborateur du site arrive, ouvre la porte et la tient par politesse à son collègue. L’inconnu continue de parler du projet et entre. Dès qu’il est seul, il fonce dans le bureau du directeur et lui vole son PC. Il s’agissait en fait d’un voleur se faisant passer pour un ingénieur. Simple et efficace ! Si seulement on lui avait demandé de montrer son badge de manière apparente…

 

Un cadeau empoisonné

Fin 2010, les dirigeants d’un grand groupe industriel français ont reçu des clés USB en cadeau. En réalité, ces clés USB comportaient un spyware qui récupère les données des disques durs (de manière transparente pour l’utilisateur). De quoi sérieusement nuire à la compétitivité et confidentialité de l’entreprise ! Quoi qu’il arrive, ne jamais connecter de clé ou de disque dont on ne peut personnellement garantir la provenance. Le mieux étant d’utiliser uniquement des clés USB fournies par votre entreprise.

 

Attention, une donnée peut en cacher une autre

Un collaborateur reçoit un fichier Excel avec des données le concernant personnellement. En ouvrant le document depuis une version différente du logiciel, il fut surpris d’y lire cette fois les données d’un autre employé… Certains logiciels de bureautique gardent l’historique des différentes versions. Dans le même esprit, copier une partie d’un document, soit en sélectionnant des éléments, soit en mettant un filtre, peut permettre l’accès à l’ensemble des informations du doc (historique compris). Un jour, une banque a même découvert la marge prévue par un prestataire via leur réponse à l’appel d’offre : il lui a suffi de cliquer sur le diagramme contenu dans un slide PowerPoint afin de consulter l’ensemble du fichier Excel qui se trouvait derrière ! Aïe !

 

Soyez donc vigilant et exportez sous format PDF la partie concernée. De même, copiez en format image les diagrammes et autres tableaux dans votre présentation (cela a aussi l’avantage de l’alléger). N’oubliez pas enfin de contrôler le résultat final.

 

security.jpg

[La sécurité, l'affaire de tous au quotidien]

 

"Répondre à tous", un reflexe risqué

Lors d’un échange de mail, un collaborateur fait "répondre à tous" en tenant quelques propos factuels sur le respect des plannings de ses camarades anglais, mais sur un ton ironique. Persuadé de ne partager qu’avec ses homologues français… alors qu’un membre de l’équipe anglaise était destinataire. C’est un cas qui arrive souvent et qui peut-être vous parle personnellement ? Prenez donc l’habitude de contrôler la liste des destinataires et d’ôter ceux que vous ne connaissez pas. Pensez aussi à regarder qui sont derrière les listes de diffusion. On n’est jamais trop prudent.

 

Pris en flagrant délit de mauvaise foi

Lors d’un contrôle de 2nd niveau, un opérationnel assure avoir déclaré en non-conformité une opération d’un des clients de son portefeuille. Mais aucun mail ne fait état de cette déclaration. Le collaborateur, en préparation d’un comité de gestion des risques, envoie un e-mail pour confirmer qu’il a bien transmis tous les éléments en complétant d’une date … Sauf que celui-ci avait laissé l’historique du mail, avec tous les échanges dans lesquels il reconnaissait auprès de ses collègues avoir oublié de transmettre la fameuse opération et décidait de nous affirmer le contraire ! Le comité s’est très bien passé… pour le responsable du contrôle interne !

 

Moralité : vérifiez, voire de préférence effacez, l’historique de vos mails quand vous faites évoluer la liste des destinataires.

 

Un cas de conscience

En arrivant dans une salle de réunion, j’ai trouvé la réponse à appel d’offre d’un concurrent et l’analyse du client associée. Il s’agissait d’une affaire sur laquelle ma société était positionnée. J’ai bien entendu veillé à corriger immédiatement cette "faille de sécurité". Et oui, quand on quitte une salle de réunion, on ne laisse pas trainer des documents sensibles et on prend soin d’effacer les tableaux.

 

Menteur comme un chasseur de tête

Une assistante informe qu’une banque appelle souvent pour demander les coordonnées d’un collaborateur car il aurait des problèmes sur son compte bancaire… Un coup de fil auprès de la banque a suffi pour constater qu’il s’agissait en réalité d’un cabinet de recrutement ! Cette ruse vieille comme le monde fonctionne très bien. C’est pourquoi il convient de ne jamais donner le numéro, le mail ou une autre information concernant un collaborateur à quelqu’un d’extérieur à votre entreprise ou non habilité. Derrière le combiné, à moins de bien connaître son interlocuteur, aucun moyen de vérifier à qui l’on s’adresse.

 

Le mot de passe partagé

En mission chez un client, une mise à jour de mon poste de travail venait d'être effectuée sur le réseau. Au démarrage de Windows, je vois de nouveaux scripts s'exécuter péniblement. En un éclair, j'ai entrevu le mot ADMINISTRATEUR écrit en majuscules. Poussé par la curiosité, je lance une recherche sur le réseau de fichiers scripts contenant le mot "administrateur". Jackpot ! Un des fichiers trouvés détaille les identifiants de l'administrateur réseau (loggin ET mot de passe en clair) ! Je disposais, si je le souhaitais, des droits d'administration sur le réseau du client ! A ce sujet, il faut rester extrêmement vigilant quant aux fichiers que l’on enregistre sur le réseau, espace public où chacun peut consulter les documents des autres.

 

Alors oui, la sécurité des systèmes d’information peut parfois s’avérer lourde et contraignante (telle la multiplication des comptes et mots de passe associés). Mais elle relève avant tout du bon sens et, avec quelques bons réflexes, elle participe efficacement à la maîtrise des risques au sein de l’entreprise.

 

Si vous aussi vous avez une anecdote de ce type, n’hésitez pas à la partager avec nous dans les commentaires de cette news ;)

 


Sur le même sujet :

> Fraude en entreprise : les gestes qui sauvent

> Risk management : quand risque rime avec performance

 


 

Publié dans Contrôle et risques

Commenter cet article

Damien 18/07/2011 22:34


Article très intéressant. J'aime beaucoup votre style d'écriture et vos choix de sujets, à la fois techniques et concrets. Continuez!