L'autre enseignement du scandale NSA : comment les services informatiques des entreprises sont devenus leur plus grand facteur de risques

Atlantico : Peut-on dire que les organisations et les entreprises ne se méfient pas assez de leurs services informatiques ? Ceux-ci doivent-ils faire l'objet de davantage de contrôles ?

Michel Van Den Berghe : Les administrateurs des services informatiques ont beaucoup de pouvoir car ils ont tous les outils nécessaires pour surveiller, maîtriser et regarder ce qui se passe au niveau des systèmes d’information. Comme Spider Man, lorsqu’on a de grands pouvoirs, de grandes responsabilités nous incombent. Les entreprises ne forment pas et n’éduquent pas assez les salariés sur le fait qu’ils ont accès à de nombreuses informations. Même s’ils n’en ont pas l’utilité, ils peuvent, de fait, les voir. La curiosité humaine étant ce qu’elle est, on ne se méfie pas assez de ce que peuvent faire de ces informations les administrateurs, et plus spécialement ce que l’on appelle les « gestionnaires de comptes à fort privilège ».

Les entreprises et les organisations doivent gérer et tracer tout ce qui est fait par les personnes disposant de comptes à fort pouvoir. Il faut mettre un terme à l’anonymat inhérent à certains comptes. Même si ce n’est qu’un compte d’administrateur il faut le rattacher à une personne physique, et vérifier que celle-ci ne sort pas de ses missions. C’est typiquement l’exemple du balayeur de centrale nucléaire, qui grâce à son badge a accès à toutes les zones. Son comportement devient anormal dès lors qu’il abandonne son chariot pour faire autre chose. Un administrateur de messagerie peut également, si son activité n’est pas tracée, regarder sans être vu les boîtes mail de toute l’entreprise...

Les "petites mains" comme Edward Snowden, par qui le scandale des données de la NSA est arrivé, sont-ils à surveiller davantage ?

Tout à fait. On a tendance à tendance à penser qu'il faut surtout contrôler les personnes ayant accès à des données sensibles,  mais aucunement les salariés en charge de la sauvegarde et de la simple administration de ces mêmes données.  Chez Apple, tous les employés ont une formation visant à nourrir le culte du secret ; rien ne fuit. En France, cette culture n’est pas assez promue.

Qui est le plus fiable de celui qui a une accréditation de haut niveau mais qui a passé des tests, ou du petit employé qui pourrait accéder plus ou moins volontairement à des informations dont il ne mesurerait pas vraiment la portée ?

C’est de ces derniers dont il faut le plus se méfier, car ils ne sont pas formés en conséquence. Dans les entreprises, on voit encore énormément de comptes « génériques ». C’est typiquement le cas des comptes prestataires, qui ne sont désignés que par des numéros, garantissant ainsi l’anonymat de celui qui l’utilise.

Existe-t-il des précédents en la matière ? Quels sont-ils ?

L’Agence de renseignements Suisse (Swiss Intelligence Agency) a mis en garde ses homologues américains et britanniques sur le fait qu’elles auraient pu avoir perdu quelques téraoctets de données classées secrètes… Un administrateur IT malveillant a dérobé d’énormes quantités de données confidentielles en les copiant sur des petits disques durs qu’il faisait sortir clandestinement du bureau dans son sac à dos. L’ex-employé, qui a pourtant travaillé à l’Agence de renseignements pendant 8 ans, aurait été mécontent de sa hiérarchie qui ignorait ses suggestions d’amélioration des systèmes informatiques. En tant qu’administrateur système, il avait accès à des fichiers sensibles, y compris des fichiers alimentés par des sources extérieures telles que la CIA ou le MI6. Il s’agit pour la plupart d’informations partagées dans le but de la lutte antiterroriste internationale. Il semblerait que le malfaiteur n’ait pas eu le temps de vendre ces informations. Une enquête a été ouverte par les autorités suisses et un rapport de l’incident sera publié au printemps prochain.

Propos recueillis par Gilles Boutin