Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité en entreprise : la menace vient souvent de l'intérieur

Sécurité en entreprise : la menace vient souvent de l'intérieur
2009-05-262013-02-11sécurité physiquefr
Les virus et autres microbes ont des millions d'années d'expériences sur ce sujet (quel CV !!), et on ne peut pas les prendre en défaut sur le sujet. En effet, cela fait bien longtemps qu'ils savent que pour mieux attaquer un système donné, il vaut mieux être à l'intérieur. Il en est de...
Publié le 26 Mai 2009 par Philippe Maltere dans sécurité physique
Les virus et autres microbes ont des millions d'années d'expériences sur ce sujet (quel CV !!), et on ne peut pas les prendre en défaut sur le sujet. En effet, cela fait bien longtemps qu'ils savent que pour mieux attaquer un système donné, il vaut mieux être à l'intérieur. Il en est de même pour la sécurité d'une entreprise, la menace vient souvent de l'intérieur.


Une très sérieuse étude menée par le CERT le confirme malheureusement encore. Pour celle-ci les secteurs les plus touchés sont l'informatique, la finance, et le secteur public. L'étude pointe le fait que la plupart des fraudes internes (68%) sont réalisées dans les trois semaines précédant le départ du fraudeur présumé (un véritable scoop). L'intérêt de l'étude n'est pas le fait que les scientifiques voudraient modéliser la fraude interne (bon courage), mais plutôt des exemples réels à méditer. En effet, car comme d'habitude, les utilisateurs rivalisent d'astuces parfois presque géniales. Des exemples :

  • Le tour de passe-passe : un employé revenu de nuit sur son lieu de travail a pris le temps d'échanger les plaques nominatives entre son bureau et celui d'un collègue, puis est allé demander au veilleur de nuit de lui ouvrir "son" bureau car il en avait oublié les clés. Il a ainsi pu copier le contenu du poste de travail du collègue.
  • Le contournement : L'entreprise avait des processus de dé-provisionnement efficaces et l'employé licencié le vendredi après-midi perdait immédiatement accès à tous ses comptes... logiques. Mais son accès physique n'ayant pas pu être révoqué avant le lundi matin, il a pu revenir durant le week-end et déclencher l'arrêt d'urgence de l'électricité dans la salle des serveurs.
  • Les identités multiples : Avant d'être licencié cet administrateur réseau a pris soin de créer des comptes VPN pour le CEO et le CFO, qui manifestement n'en n'avaient aucune utilité. Ainsi, même privé de ses accès par un processus de dé-provisionnement efficace, l'employé a pu conserver un accès privilégié au Système d'Information pendant plusieurs semaines, et cela bien entendu sans éveiller de soupçons.
  • Le commentaire de trop : Le développeur travaillant pour une société de loterie américaine avait bien entendu accès aux codes sources. Il a ainsi pu commenter une ligne : celle qui permettait d'alerter l'équipe sécurité lorsqu'une interface spécifique, rarement utilisée, était appelée. Il se trouve que cette interface permettait de vérifier manuellement la validité d'un billet gagnant en entrant son numéro de série...
  • Le robinet reste ouvert : Chaque lundi en arrivant à son bureau cet administrateur réseau ouvrait une connexion SSH vers une machine installée à son domicile. Et lorsqu'il a été licencié pour faute grave avec interdiction de revenir à son poste de travail (et tous ses accès révoqués dans la foulée), il disposait toujours en arrivant chez lui d'un accès complet et privilégié au réseau. Ce qui lui a permis de détruire plusieurs systèmes auxquels il avait accès.

Cela laisse sans voix, non ?
Mais comment me direz vous éradiquer ce fléau (enfin plutôt en diminuer les conséquences, soyons humble), le CERT propose aussi un guide bonnes pratiques. En gros, Ne surtout pas sous estimer ce problème, avoir des procédures d'ouverture et surtout de fermeture des droits efficaces, une sensibilisation accrue à la sécurité des employés, bien qualifier les risques induits par certaines catégories de personnel (développeur, administrateurs réseaux systèmes) et bien sûr renforcer le monitoring des employés.

2 Commentaires

  • 8 Juin 2009
    2009-06-08
    par
    Et cela vient très vite.

    Puisque aujourd'hui pour l'administration, la mode est au serveur de rebond
  • 26 Mai 2009
    2009-06-08
    par
    Florent
    Et le cher administrateur du WAN de la ville de San Francisco qui avait changé tous les mots de passe des routeurs !

    On est encore loin d'avoir des interfaces d'administration qui s'ouvrent avec 2 mots de passe façon lancement missile atomique dans les films de guerre. Mais ça commence à venir !

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage