7 Mail Berthélemy Thimonnier 77185 Lognes +33181800770 [email protected]

Piratage et Hacking : le péril interne. Quand la menace est chez soi.

Piratage et Hacking : le péril interne. Quand la menace est chez soi. - Article Upper-LinkTemps de lecture : 4 min.

Piratage et Hacking : le péril interne. Quand la menace est chez soi. Par Benoit Lecomte et Hélène Manierka pour Upper-Link

2/3 des entreprises US craignent davantage les menaces internes que la malveillance extérieure. Les risques internes représentent la première menace face au hacking et à la sortie d’informations confidentielles.

Upper-Link constate régulièrement qu’une des premières failles au sein des entreprises est le personnel. Souvent lié à des procédures trop ou pas assez cadrées, les DSI doivent faire face à différents risques d’intégrité, de confidentialité des informations et de hacking.

Upper-Link revient sur ISO 27001

Upper-Link est devenue l’une des rares sociétés de services certifiée ISO 27001 sur la totalité de ses activités. Cette certification valide que L’ESN (entreprise de Service du Numérique) est qualifiée sur « la gestion et sécurité des systèmes d’information ».

Les méthodologies et la certification ISO 27001 obligent Upper-Link à prendre en compte et exposer toute faille dans les SI lors de ses interventions. « Nous mesurons le risque encouru dans le cadre de notre prestation et informons nos clients des risques liés à leur SI. » complète Christophe COSTE, RSSI d’Upper-Link. Cet atout a permis à Upper-Link de constater lors d’audits chez ses clients des pratiques à risque pour leur SI.

« La notion de menace interne doit absolument être intégrée dans les routines de sécurité, signale René-Louis ADDA, Président de l’ESN Upper-Link. Il ne s’agit même pas toujours de malveillance, mais d’étourderies ou d’inconscience de la part des collaborateurs. Toutefois, elles ouvrent les portes au piratage et au hacking ».

Hacking par l’interne, quelles sont les failles courantes ?

Les failles couramment constatées, entraînant du Hacking, peuvent se classer dans quatre grands groupes :

■ Les risques par négligence (volontaire ou non)
■ Les risques par malveillance
■ Les risques par une politique laxiste
■ Les risques par une politique trop contraignante.

Ces grands groupes de risques semblent pour certains évidents et simples à résoudre. Les entreprises ont surtout du mal à comprendre comment une politique de sécurité des SI peut amener à ouvrir des failles de sécurité.

Très souvent, lorsqu’une politique est trop contraignante ou laxiste, les collaborateurs trouvent des moyens personnels pour transférer les données, pour collaborer et pour communiquer. Malveillants ou non, vos collaborateurs favorisent ce risque de hacking, de fuite de l’information.

« Une entreprise doit concevoir que le travail en mobilité est une réalité beaucoup plus présente qu’on le pense. Travailler à distance ou en collaboratif demande une bonne analyse en amont pour déployer les outils et les procédures adéquats. Cet exercice permet de garder le contrôle sur ses données. » explique Christophe COSTE, RSSI d’Upper-Link.

Quelques exemples de failles de sécurité

Fuites de données
Un aquarium responsable de fuites ! L’aquarium connecté d’un casino a permis, via ses capteurs de température, la fuite de 10GB de données !

Détournement des PC
Une banque italienne s’est aperçue que certains de ses employés « minaient » du bitcoin en siphonnant des PC neufs dissimulés dans de faux plafonds.

Prévenir et traiter les risques : une mission de fond

« La certification ISO 27001, indique Christophe COSTE, garantit le respect des obligations concernant l’organisation et les moyens sans cesse mis en œuvre. Nous nous assurons de la connaissance des règles et du comportement de chacun de nos collaborateurs et consultants. Ces obligations sont vraies aussi pour tous les prestataires œuvrant pour et au nom d’Upper-Link ».

Environ 10 millions d’actions se produisent chaque jour à l’intérieur d’une grande structure, selon Wired magazine. Il ne s’agit pas de limiter ou contraindre cette activité mais d’en repérer rapidement les anomalies. Une fois les risques et failles identifiés, il faut y remédier en apportant des solutions justes et efficaces. Il faut trouver un moyen de faciliter le travail des collaborateurs en améliorant leur productivité sans risques pour la société.

Conseils de base par Upper-Link:

La sécurité commence par de bonnes habitudes au niveau individuel.

■ Attention aux informations que vous communiquez sur les réseaux sociaux.
■ Inventez vos réponses aux questions personnelles de sécurité.
■ Respectez les règles de changement de vos mots de passe.
■ Ne divulguez jamais votre mot de passe ou sinon modifiez le après une intervention.
■ Ne laissez jamais des documents et cookies sur des ordinateurs personnels ou publics.
■ Préférez l’authentification à deux facteurs.
■ Attention aux documents et informations que vous partagez et avec qui.
■ Programmer vos terminaux pour qu’ils se verrouillent automatiquement.

Il est conseillé de prendre contact avec un professionnel pour auditer son entreprise. Des solutions comme les Pack Digital Workplace et Pack Bibliothèque de documents d’Upper-Link, permettent de répondre à une grande partie des besoins liés à la sécurité des postes et de l’information.

« Nous avons beaucoup de moyens performants pour assurer, contrôler, valider les flux et la gestion des données au sein des entreprises. Il faut malheureusement trop souvent insister auprès des DSI pour réaliser un audit. Or cet audit est une clé pour sécuriser le SI et limiter les risques financiers. En résumé c’est une dépense pour réaliser des économies. » conclut René-Louis ADDA, Président d’Upper-Link

Une question, un projet ?

Benoit LECOMTE on Linkedin
Benoit LECOMTE
Responsable Marketing & Communication chez Upper-Link