|
« Les résultats de cette étude montre clairement la situation très inconfortable des administrateurs IT, qui sont soumis aux consignes de leur hiérarchie en tant que salariés et qui doivent assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée » déclare Jean-Noël de Galzain, Président de Wallix. « Il ne faut pas oublier que l’exercice de la fonction d’administrateur est à la croisée de ces deux obligations. Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l’AFCDP rappelle une jurisprudence qui avait abouti à la condamnation d’un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position et des possibilités techniques dont ils disposaient ». L’Association Française des Correspondants à la protection des Données à caractère Personnel recommande d’ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d’avantage au cadre juridique.
Si les professionnels de l’informatique ne donnent pas l’exemple en matière de confidentialité, on apprend aussi qu’ils sont toujours une majorité à noter les mots de passe les plus critiques sur de petites pages jaunes et que 8% avouent avoir laissé les mots de passe des éditeurs de logiciels… qui sont bien connus de tous les hackers. Jean-Noël de Galzain affirme que « la façon la plus simple de s’infiltrer dans le réseau d’une entreprise est de chercher les mots de passe de type admin laissés en blanc ou avec la valeur par défaut de l’éditeur comme admin ou password…. Une fois que ces mots de passe sont trouvés, vous vous retrouvez dans le SI de l’entreprise et bénéficiez du plus haut niveau de privilège et d’autorisation Vous contrôlez donc l’ensemble du SI de l’entreprise ». Ces risques sont confirmés dans l’étude publiée par le CERT du Carnegie Mellon University Software Engineering Institute et les services secrets américains et intitulée Comparing Insider IT Sabotage and Espionage : dans 86% des cas, l’attaquant interne serait un homme, occupant un poste technique. Pour 92% d’entre eux, la vengeance était la première motivation. Le rapport confirme que « dans les cas de sabotages étudiés, les auteurs étaient souvent les Administrateurs systèmes ou les utilisateurs privilégiés [qui] ont un accès total à des segments stratégiques du système d’information ou du réseau ». L’un des trente cas étudiés fait état d’un Administrateur ayant accédé au NOC un vendredi soir : « Il a effacé la totalité des données, écrasé les programmes applicatifs, arrêté l’ensemble des ressources et volé les supports de sauvegarde… ». Le rapport précise que « dans 28 des 30 cas de sabotage et d’espionnage, le défaut de contrôle d’accès a facilité ces actes illégitimes ». Plus près de nous, la CNIL a récemment pointé les failles de sécurité du Dossier Médical Personnel (DMP), dont des mots de passe trop facilement réductibles.
Dans le même ordre d’idée, on apprend dans l’étude que 20% des administrateurs reconnaissent ne pas modifier les mots de passe les plus critiques assez fréquemment ; Les réponses les plus souvent fournies sont : « Aucune idée ! », « Pas souvent », « Quand la hiérarchie nous y oblige », « Chaque année », « Jamais ». Il est encore beaucoup plus surprenant lorsque l'on décourvre que ces mêmes professionnels informatiques estiment à 68% pouvoir passer avec succès un audit de sécurité inopiné !
|
