En direct
Best of
Best-of: le meilleur de la semaine Atlantico
En direct
© Reuters
Le scandale de la NSA montre à quel point les services informatiques des entreprises doivent faire l'objet de davantage de contrôles.
Méfiance
L'autre enseignement du scandale NSA : comment les services informatiques des entreprises sont devenus leur plus grand facteur de risques
Publié le 12 juin 2013
Le scandale Prism, ce vaste programme d'espionnage élaboré par l'agence de sécurité nationale américaine (NSA), montre à quel point les services informatiques des entreprises doivent faire l'objet de davantage de contrôles.
Michel Van Den Berghe est président d'Atheos, société spécialisée dans la cyberdéfense des entreprises. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Michel Van Den Berghe
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Michel Van Den Berghe est président d'Atheos, société spécialisée dans la cyberdéfense des entreprises. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Le scandale Prism, ce vaste programme d'espionnage élaboré par l'agence de sécurité nationale américaine (NSA), montre à quel point les services informatiques des entreprises doivent faire l'objet de davantage de contrôles.

Atlantico : Peut-on dire que les organisations et les entreprises ne se méfient pas assez de leurs services informatiques ? Ceux-ci doivent-ils faire l'objet de davantage de contrôles ?

Michel Van Den Berghe : Les administrateurs des services informatiques ont beaucoup de pouvoir car ils ont tous les outils nécessaires pour surveiller, maîtriser et regarder ce qui se passe au niveau des systèmes d’information. Comme Spider Man, lorsqu’on a de grands pouvoirs, de grandes responsabilités nous incombent. Les entreprises ne forment pas et n’éduquent pas assez les salariés sur le fait qu’ils ont accès à de nombreuses informations. Même s’ils n’en ont pas l’utilité, ils peuvent, de fait, les voir. La curiosité humaine étant ce qu’elle est, on ne se méfie pas assez de ce que peuvent faire de ces informations les administrateurs, et plus spécialement ce que l’on appelle les « gestionnaires de comptes à fort privilège ».

Les entreprises et les organisations doivent gérer et tracer tout ce qui est fait par les personnes disposant de comptes à fort pouvoir. Il faut mettre un terme à l’anonymat inhérent à certains comptes. Même si ce n’est qu’un compte d’administrateur il faut le rattacher à une personne physique, et vérifier que celle-ci ne sort pas de ses missions. C’est typiquement l’exemple du balayeur de centrale nucléaire, qui grâce à son badge a accès à toutes les zones. Son comportement devient anormal dès lors qu’il abandonne son chariot pour faire autre chose. Un administrateur de messagerie peut également, si son activité n’est pas tracée, regarder sans être vu les boîtes mail de toute l’entreprise...

Les "petites mains" comme Edward Snowden, par qui le scandale des données de la NSA est arrivé, sont-ils à surveiller davantage ?

Tout à fait. On a tendance à tendance à penser qu'il faut surtout contrôler les personnes ayant accès à des données sensibles,  mais aucunement les salariés en charge de la sauvegarde et de la simple administration de ces mêmes données.  Chez Apple, tous les employés ont une formation visant à nourrir le culte du secret ; rien ne fuit. En France, cette culture n’est pas assez promue.

Qui est le plus fiable de celui qui a une accréditation de haut niveau mais qui a passé des tests, ou du petit employé qui pourrait accéder plus ou moins volontairement à des informations dont il ne mesurerait pas vraiment la portée ?

C’est de ces derniers dont il faut le plus se méfier, car ils ne sont pas formés en conséquence. Dans les entreprises, on voit encore énormément de comptes « génériques ». C’est typiquement le cas des comptes prestataires, qui ne sont désignés que par des numéros, garantissant ainsi l’anonymat de celui qui l’utilise.

Existe-t-il des précédents en la matière ? Quels sont-ils ?

L’Agence de renseignements Suisse (Swiss Intelligence Agency) a mis en garde ses homologues américains et britanniques sur le fait qu’elles auraient pu avoir perdu quelques téraoctets de données classées secrètes… Un administrateur IT malveillant a dérobé d’énormes quantités de données confidentielles en les copiant sur des petits disques durs qu’il faisait sortir clandestinement du bureau dans son sac à dos. L’ex-employé, qui a pourtant travaillé à l’Agence de renseignements pendant 8 ans, aurait été mécontent de sa hiérarchie qui ignorait ses suggestions d’amélioration des systèmes informatiques. En tant qu’administrateur système, il avait accès à des fichiers sensibles, y compris des fichiers alimentés par des sources extérieures telles que la CIA ou le MI6. Il s’agit pour la plupart d’informations partagées dans le but de la lutte antiterroriste internationale. Il semblerait que le malfaiteur n’ait pas eu le temps de vendre ces informations. Une enquête a été ouverte par les autorités suisses et un rapport de l’incident sera publié au printemps prochain.

Propos recueillis par Gilles Boutin

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Statistiques du ministère de l’intérieur : Christophe Castaner ou l’imagination au pouvoir
02.
Charlotte Casiraghi &Gad Elmaleh n’ont pas la même (idée de l’)éducation, Meghan Markle &son père non plus; Laeticia H. se dé-esseule avec un Top chef, Karine Ferri &Yoann Gourcuff se marient en vivant chacun seul; Jennifer Aniston : ses 50 ans avec Brad
03.
Fake news indétectables : GPT2, le programme développé par l’équipe d’intelligence artificielle d’Elon Musk auquel ses concepteurs préfèrent renoncer tant il leur fait peur
04.
Ce que le projet de loi Dussopt sur la fonction publique indique des renoncements d’Emmanuel Macron
05.
Agression contre Finkielkraut : certains Gilets jaunes voudraient que les Juifs portent l'étoile jaune
06.
Un président étranger à son peuple mais aussi de plus en plus étranger à la communauté internationale
07.
Alain Finkielkraut sur son agression : " je n’aurais pas subi ce même genre d’insultes sur les ronds-points"
01.
Christine Lagarde, la directrice du FMI, prévient d’un risque grave de tempête mondiale mais personne ne semble l’entendre
02.
Condamnations de Gilets jaunes : la curieuse approche quantitative de la justice mise en avant par Édouard Philippe
03.
Comment Alain Juppé s’est transformé en l’un des plus grands fossoyeurs de la droite
04.
Parent 1 / Parent 2 : derrière “l’ajustement administratif”, une lourde offensive idéologique
05.
L’étrange manque de recul d’Alain Juppé sur sa part de responsabilité dans l’état « délétère » du pays
06.
Novethic et autres promoteurs forcenés de la transition écologique : en marche vers un nouveau fascisme vert ?
01.
Parent 1 / Parent 2 : derrière “l’ajustement administratif”, une lourde offensive idéologique
02.
L’étrange manque de recul d’Alain Juppé sur sa part de responsabilité dans l’état « délétère » du pays
03.
Novethic et autres promoteurs forcenés de la transition écologique : en marche vers un nouveau fascisme vert ?
04.
Derrière le complotisme, l’énorme échec de 50 ans d’égalitarisme et de progressisme à marche forcée impulsés par l’Education nationale comme par la culture dominante
05.
Agression contre Finkielkraut : certains Gilets jaunes voudraient que les Juifs portent l'étoile jaune
06.
Flambée d’antisémitisme et de violences politiques : ces erreurs politiques et macroéconomiques à ne pas reproduire pour enrayer la crise
Commentaires (4)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
gueux et preux
- 13/06/2013 - 02:00
Il y avait
une étonnante nouvelle de l'américain John Varley sur les dangers de la communication tous crins et de comment s'en préserver.Pensez-donc,les protagonistes en étaient au point de couper les canalisations de peur qu"elles ne "soient conductrices " d'infos pêchées par l'ennemi,le pouvoir...
Ca devait se trouver dans un de ces deux recueils (remarquables) "Persistance de la vision" ou " Dans le palais des Rois Martiens".
ZOEDUBATO
- 12/06/2013 - 12:33
Cherchez pas : le risque c'est les pirates informatique de tous
poil
Il faut renforcer les peines prévues dans la loi HADOPI qui est une lois d'égalité et de justice sociale
Volnay2012
- 12/06/2013 - 11:57
Mirage dans le nuage
Il faut surtout être bien naïf de croire qu'en utilisant des services comme The Cloud, les infos privées et professionnelles ne sont pas siphonnées par les Chinois et les USA.

Une grande partie des copies technologiques chinoises sont faites á partir des informations que des idiots ont placées sur Cloud, contrôlé par les USA, mais dont le serveurs sont systématiquement visités par des visiteurs masqués chinois.

Facebook, comme dirait l'autre, c'est se mettre à poil sur internet.