En direct
Best of
Best Of du 13 au 19 avril 2019
En direct
© Reuters
Le scandale de la NSA montre à quel point les services informatiques des entreprises doivent faire l'objet de davantage de contrôles.
Méfiance
L'autre enseignement du scandale NSA : comment les services informatiques des entreprises sont devenus leur plus grand facteur de risques
Publié le 12 juin 2013
Le scandale Prism, ce vaste programme d'espionnage élaboré par l'agence de sécurité nationale américaine (NSA), montre à quel point les services informatiques des entreprises doivent faire l'objet de davantage de contrôles.
Michel Van Den Berghe est président d'Atheos, société spécialisée dans la cyberdéfense des entreprises. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Michel Van Den Berghe
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Michel Van Den Berghe est président d'Atheos, société spécialisée dans la cyberdéfense des entreprises. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Le scandale Prism, ce vaste programme d'espionnage élaboré par l'agence de sécurité nationale américaine (NSA), montre à quel point les services informatiques des entreprises doivent faire l'objet de davantage de contrôles.

Atlantico : Peut-on dire que les organisations et les entreprises ne se méfient pas assez de leurs services informatiques ? Ceux-ci doivent-ils faire l'objet de davantage de contrôles ?

Michel Van Den Berghe : Les administrateurs des services informatiques ont beaucoup de pouvoir car ils ont tous les outils nécessaires pour surveiller, maîtriser et regarder ce qui se passe au niveau des systèmes d’information. Comme Spider Man, lorsqu’on a de grands pouvoirs, de grandes responsabilités nous incombent. Les entreprises ne forment pas et n’éduquent pas assez les salariés sur le fait qu’ils ont accès à de nombreuses informations. Même s’ils n’en ont pas l’utilité, ils peuvent, de fait, les voir. La curiosité humaine étant ce qu’elle est, on ne se méfie pas assez de ce que peuvent faire de ces informations les administrateurs, et plus spécialement ce que l’on appelle les « gestionnaires de comptes à fort privilège ».

Les entreprises et les organisations doivent gérer et tracer tout ce qui est fait par les personnes disposant de comptes à fort pouvoir. Il faut mettre un terme à l’anonymat inhérent à certains comptes. Même si ce n’est qu’un compte d’administrateur il faut le rattacher à une personne physique, et vérifier que celle-ci ne sort pas de ses missions. C’est typiquement l’exemple du balayeur de centrale nucléaire, qui grâce à son badge a accès à toutes les zones. Son comportement devient anormal dès lors qu’il abandonne son chariot pour faire autre chose. Un administrateur de messagerie peut également, si son activité n’est pas tracée, regarder sans être vu les boîtes mail de toute l’entreprise...

Les "petites mains" comme Edward Snowden, par qui le scandale des données de la NSA est arrivé, sont-ils à surveiller davantage ?

Tout à fait. On a tendance à tendance à penser qu'il faut surtout contrôler les personnes ayant accès à des données sensibles,  mais aucunement les salariés en charge de la sauvegarde et de la simple administration de ces mêmes données.  Chez Apple, tous les employés ont une formation visant à nourrir le culte du secret ; rien ne fuit. En France, cette culture n’est pas assez promue.

Qui est le plus fiable de celui qui a une accréditation de haut niveau mais qui a passé des tests, ou du petit employé qui pourrait accéder plus ou moins volontairement à des informations dont il ne mesurerait pas vraiment la portée ?

C’est de ces derniers dont il faut le plus se méfier, car ils ne sont pas formés en conséquence. Dans les entreprises, on voit encore énormément de comptes « génériques ». C’est typiquement le cas des comptes prestataires, qui ne sont désignés que par des numéros, garantissant ainsi l’anonymat de celui qui l’utilise.

Existe-t-il des précédents en la matière ? Quels sont-ils ?

L’Agence de renseignements Suisse (Swiss Intelligence Agency) a mis en garde ses homologues américains et britanniques sur le fait qu’elles auraient pu avoir perdu quelques téraoctets de données classées secrètes… Un administrateur IT malveillant a dérobé d’énormes quantités de données confidentielles en les copiant sur des petits disques durs qu’il faisait sortir clandestinement du bureau dans son sac à dos. L’ex-employé, qui a pourtant travaillé à l’Agence de renseignements pendant 8 ans, aurait été mécontent de sa hiérarchie qui ignorait ses suggestions d’amélioration des systèmes informatiques. En tant qu’administrateur système, il avait accès à des fichiers sensibles, y compris des fichiers alimentés par des sources extérieures telles que la CIA ou le MI6. Il s’agit pour la plupart d’informations partagées dans le but de la lutte antiterroriste internationale. Il semblerait que le malfaiteur n’ait pas eu le temps de vendre ces informations. Une enquête a été ouverte par les autorités suisses et un rapport de l’incident sera publié au printemps prochain.

Propos recueillis par Gilles Boutin

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Ils reconnaissent l'une des écoles de leur village dans un film porno
02.
Les puissants relais de l'Algérie en France ; Ces amis de Ghosn que tout le monde craignait chez Renault; L'avertissement de Philippe à Castaner; Technip: et un mégagâchis industriel de plus; Notre-Dame partout dans les hebdos, le catholicisme plus rare
03.
Trêve ou flottement au sommet ? Quoiqu’il en soit, voilà les 5 questions de fond auxquelles Emmanuel Macron devra absolument répondre s’il veut reprendre la main
04.
Un pognon de dingue pour Notre-Dame de Paris ? Oui, car l'Homme ne vit pas que de pain
05.
Mais pourquoi se poser la question sur l’origine de l’incendie de Notre-Dame classe-t-il automatiquement dans le camp des complotistes ?
06.
Pourquoi l’incendie de Notre-Dame oblige Emmanuel Macron à revoir sa copie
07.
Le nouveau parti du Brexit de Nigel Farage prend la tête des sondages pour les Européennes au Royaume-Uni
01.
Notre-Dame de Paris : des dirigeants de l’Unef se moquent de l'incendie
02.
Mais pourquoi se poser la question sur l’origine de l’incendie de Notre-Dame classe-t-il automatiquement dans le camp des complotistes ?
03.
Ce que pèse vraiment le vote musulman dans la balance démocratique française
04.
L’insoutenable légèreté de la majorité LREM ?
05.
Grand Débat : le revenu universel, la mesure qui pourrait produire l’effet whaouh recherché par Emmanuel Macron
06.
Cardinal Robert Sarah : “Ceux qui veulent m’opposer au Pape perdent leur temps et leurs propos ne sont que le paravent qui masque leur propre opposition au Saint-Père”
01.
Après les Gilets jaunes, Notre-Dame : cette France qui se redécouvre des sentiments perdus de vue
02.
Mais pourquoi se poser la question sur l’origine de l’incendie de Notre-Dame classe-t-il automatiquement dans le camp des complotistes ?
03.
Du “Yes We Can” au “Yes I can” : de quelle crise politique le succès phénoménal de Michelle Obama est-il le symptôme ?
04.
Incendie de Notre-Dame : et notre mémoire ancestrale fit irruption dans la post-modernité
05.
Suppression de l’ENA : en marche vers des records de démagogie
06.
Grand Débat : le revenu universel, la mesure qui pourrait produire l’effet whaouh recherché par Emmanuel Macron
Commentaires (4)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
gueux et preux
- 13/06/2013 - 02:00
Il y avait
une étonnante nouvelle de l'américain John Varley sur les dangers de la communication tous crins et de comment s'en préserver.Pensez-donc,les protagonistes en étaient au point de couper les canalisations de peur qu"elles ne "soient conductrices " d'infos pêchées par l'ennemi,le pouvoir...
Ca devait se trouver dans un de ces deux recueils (remarquables) "Persistance de la vision" ou " Dans le palais des Rois Martiens".
ZOEDUBATO
- 12/06/2013 - 12:33
Cherchez pas : le risque c'est les pirates informatique de tous
poil
Il faut renforcer les peines prévues dans la loi HADOPI qui est une lois d'égalité et de justice sociale
Volnay2012
- 12/06/2013 - 11:57
Mirage dans le nuage
Il faut surtout être bien naïf de croire qu'en utilisant des services comme The Cloud, les infos privées et professionnelles ne sont pas siphonnées par les Chinois et les USA.

Une grande partie des copies technologiques chinoises sont faites á partir des informations que des idiots ont placées sur Cloud, contrôlé par les USA, mais dont le serveurs sont systématiquement visités par des visiteurs masqués chinois.

Facebook, comme dirait l'autre, c'est se mettre à poil sur internet.