#RGPD : 10 recommandations de sécurité informatique

RGPD 1 déc. 2017

Je ne vous apprends rien : garder un système informatique sain et sécurisé n’est pas simple et demande du temps, des ressources humaines et financières, et une certaine expertise. Si en plus ce système héberge des données à caractère personnel, alors garantir la sécurité de votre système devient une obligation légale.

Évidemment, ces mesures dépendent avant tout de votre activité. Et ce n’est pas forcément super cher (la sécurité n’est pas un produit qu’on achète, contrairement à ce que voudraient vous faire croire les vendeurs de caméras et de pare-feux). Il y a de bonnes solutions gratuites, ou peut-être que vous disposez déjà de solutions adaptées sans le savoir : il suffit alors de les activer 😉

Bref, profitons de l’arrivée du RGPD pour balayer un peu les mesures que vous devriez mettre en place pour assurer la sécurité des données que vous traitez.

 

1. Évaluez les menaces et risques associés à votre activité

Une des composantes nécessaires pour vous permettre de définir le niveau de sécurité à atteindre par votre entreprise, c’est le risque associé aux données qui passent entre vos mimines digitales.

Pour autant, ce n’est pas si simple à évaluer : il vous faut prendre en compte tous les process au sein de l’entreprise qui vous permettent de collecter, de stocker, de traiter et enfin d’effacer les données à caractère personnel (si si, il faut effacer, au bout d’un moment…). A vous d’estimer à quel point ces données sont sensibles, confidentielles, quelle valeur est-ce qu’elles représentent… et surtout quels impacts pourrait avoir un défaut de sécurité (vol de données, fuite, publication sur le net…), tant pour votre entreprise que pour les personnes qu’elles identifient (c’est l’aspect le plus important, et pourtant le moins pris en compte : une erreur à ne pas commettre, donc).

Une fois que cette vision « menaces/risques » est un peu plus claire pour vous, vous pourrez envisager de choisir des mesures adaptées pour réduire ces risques (le risque zéro n’existe pas ici non plus). Ensuite seulement, vous pourrez les mettre en place.

Ne faites pas nécessairement confiance à une agence « spécialisée » qui n’aura pour objectif que de vous refourguer une solution clés-en-main absolument pas adaptée à votre entreprise et à son activité : personne ne connaît mieux le fonctionnement d’une entreprise que les personnes qui la gèrent au quotidien. Et pour enfoncer le clou : vous n’avez même pas idée du nombre d’entreprises que j’ai « visitées » et dont la sécurité informatique, souvent fortement défaillante, était gérée par un prestataire « dont c’est le métier »…

 

 

2. Commencez par le commencement

Il y a des mesures basiques que toute entreprise devrait mettre en place. Des petites choses, complémentaires, qui contribuent à assurer une bonne hygiène numérique au sein de votre système d’information.

Je vais me répéter, mais il faut que ça rentre : il n’y a pas de solution unique, polyvalente et efficace. Les solutions qu’on installe, qui font tout et qu’on oublie, c’est non.

Alors effectivement, pour être un tant soit peu efficaces, ces différentes briques demandent un peu plus de travail pour fonctionner de concert. Mais le jeu en vaut la chandelle. Voyons ça au travers de 5 thématiques clés.

 

2.1. OpenOffice Pare-feux et passerelles

C’est la toute première ligne de défense lorsque l’attaque provient de l’extérieur (Internet, quoi). Un pare-feu bien configuré bloquera les tentatives d’intrusion avant que les vilains pirates pénètrent votre système et accèdent aux données. Quant à la passerelle (le fameux « proxy » –que je désigne souvent par l’acronyme PALC si vous me suivez sur Mastodon, pour « Proxy A La Con » quand il est mal configuré), elle empêchera en théorie les usagers internes (vos salariés/visiteurs, quoi) d’accéder à des contenus potentiellement dangereux ou du moins pas suffisamment dignes de confiance.

 

2.2. Une configuration propre

Tous les matériels et logiciels demandent un minimum de configuration pour fournir une protection efficace. Des actions de base, comme supprimer tout logiciel qui ne serait pas utilisé, sont un bon début. Cela évite qu’une version pas à jour traîne sur vos machines, qui contiendrait potentiellement une faille de sécurité. Vous perdrez moins de temps à virer le logiciel une bonne fois pour toutes qu’à essayer de le maintenir à jour sur tout votre parc.

Oh, et recommandation que j’aurais pensée superflue, mais que les contrôles menés pour la CNIL m’ont prouvée nécessaire : changez les mots de passe par défaut. Des équipements de sécurité informatique ou des dispositifs de vidéo-protection protégés par le mot de passe générique fourni par le fabricant/éditeur, j’en ai vu… même dans des structures où les personnes en charge de leur maintenance ignoraient ledit mot de passe. Si, c’est possible. Ces mots de passe génériques sont les premiers qu’un attaquant va tester, sachez-le.

Bref, tout comme pour votre box d’accès à Internet dont le mot de passe de base est « admin » et que vous avez évidemment changé à la première connexion (je vous vois hausser le sourcil derrière votre écran, vous croyez quoi), les équipements de l’entreprise doivent disposer de mots de passe personnalisés, et tant qu’à faire robustes.

 

 

2.3. Contrôles d’accès

Le contrôle d’accès a trois objectifs principaux : empêcher tout accès non-autorisé, définir qui a accès à quelles ressources sur votre réseau, et savoir qui fait quoi (pas pour du flicage, hein, mais pour qu’en cas de doutes sur la sécurité on puisse savoir de quel compte, de quelle machine proviennent les soucis). C’est donc, là encore, crucial. Donc, en résumé :

  • chaque utilisateur doit disposer de son propre compte nominatif protégé par un mot de passe qu’il a choisi et est le seul à connaître. Pas de comptes génériques et partagés, sinon je sors la règle en métal et je tape les doigts de tous les décideurs encravatés à 50m à la ronde.
  • chaque utilisateur doit avoir des droits d’accès précis. Si Alfred a accès à la Batcave, c’est pas pour autant que le commissaire Gordon y est toléré. Ben c’est pareil pour vos répertoires réseau : le service paie n’a pas à mettre son nez dans les rapports de la R&D, et inversement. Cloisonnez tout ça sérieusement, ça se fait très facilement, que vous utilisiez un réseau Windows, Unix…
  • les utilisateurs sont de simples utilisateurs et ont donc un compte « limité » : tout le monde n’a pas à être administrateur de sa machine, pour plusieurs raisons, ne serait-ce que pour éviter qu’ils installent tout et n’importe quoi, ou pour que si un poste est compromis, l’attaquant ne dispose que de privilèges restreints.
  • si vous utilisez un réseau Wi-Fi, assurez-vous que les communications sont chiffrées en WPA2 (pas de WPA simple, encore moins de WEP) et que la clé de sécurité est suffisamment longue et robuste. Si vous utilisez seulement un réseau câblé, assurez-vous qu’une forme de filtrage est réalisé, pourquoi pas sur l’adresse MAC : ça évitera à Jean-Kévin le script-kiddy de simplement se brancher à une prise murale et avoir un accès « open-bar » à vos ressources.
  • limitez le nombre d’échecs d’authentification : si un utilisateur échoue 10 fois d’affilée, c’est qu’il a oublié son mot de passe (donc autant le forcer à le renouveler auprès du service informatique), ou qu’un tiers essaie de se connecter à un compte qui n’est pas le sien (et c’est précisément ce qu’on veut éviter).
  • forcez le renouvellement régulier-mais-pas-trop-quand-même des mots de passe. Pas trop régulier, tout simplement parce que si un utilisateur doit mémoriser un nouveau mot de passe tous les mois, il finira immanquablement par le noter quelque part (le fameux post-it sous le clavier…).
  • intégrez cette démarche de sécurité aux procédures de gestion du personnel : si un employé quitte la société, ses accès doivent être révoqués dès son départ.

 

2.4. Protection anti-malware

C’est plus rare d’avoir à le préciser, cette idée a fait son chemin, depuis le temps. Donc, et même si ce n’est pas parfait : installez un anti-virus ou un anti-malware. La distinction entre les deux réside dans le fait que les malwares incluent, en plus des virus, les logiciels espions (spywares), les logiciels publicitaires (adwares)… Un bon anti-virus, lui, se concentrera uniquement sur les vers, les chevaux de Troie, les rootkits… On pourra parler de tout ça dans un autre articles, si ça intéresse quelqu’un.

Oh, et un anti-virus est inutile s’il n’est pas maintenu à jour… ou désactivé 😉

Assurez-vous également que le service informatique reçoit des alertes en cas de détection de menace sur un poste, et qu’il prend les mesures appropriées immédiatement. J’ai souvenir d’un audit d’intrusion que m’avait commandé le DSI d’une chouette boîte parisienne (aka pénétrer dans les locaux, brancher sournoisement un mini-routeur Wi-Fi, et aller tranquillement me poser à la cafet’ d’entreprise le temps de tout scanner). Il se trouve que l’équipe sécurité a vu passer des alertes, car j’ai inévitablement (parfois volontairement) activé des sondes de détection… cette équipe a cru à une série de faux-positifs et a fermé les différentes alertes sans autre forme d’investigation).

 

2.5. Les mises-à-jour

Quel que soient les systèmes d’exploitation, logiciels, équipements… que vous utilisez, être à jour avec ce que fournit l’éditeur/le fabricant est essentiel. Une mise-à-jour, aussi pénible que ce soit (ça n’arrive jamais au bon moment : typiquement au lancement du logiciel qu’on veut utiliser maintenant tout d’suite ; c’est long et ça oblige à redémarrer la machine [coucou Windows]… et j’en passe), outre des changements cosmétiques et l’ajout de fonctionnalités inutiles, c’est surtout la correction de bugs et… des patchs de sécurité.

On est d’accord, il y a des logiciels que vous aurez beau maintenir à jour, ils poseront systématiquement de nouveaux risques de sécurité, typiquement Adobe Flash et Java. Je vous encourage fortement à désinstaller le premier (tout site un minimum récent remplace gentiment Flash par HTML5, supporté par tout navigateur digne de ce nom), et à virer le second si aucune application métier ne l’utilise.

Il existe évidemment des solutions de gestion de parc informatique, libres et gratuites, vous permettant de gérer en un point central la distribution des mises à jour à tous les postes des employés, sans intervention de ceux-ci.

 

 

3. Sécurisez vos données, au bureau comme en déplacement

Vous travaillez sur un ordinateur. Il contient des données qui font de votre entreprise ce qu’elle est. Il y a fort à parier que ces données (personnelles ou non, à ce stade) ont une certaine valeur, qui les rend intéressantes pour un concurrent, pour un gouvernement, bref… la liste est longue.

Et au delà d’une intrusion par le réseau : on peut très bien vous voler votre machine. Au bureau (que la menace soit interne : salarié malveillant, ou externe : cambriolage…), et en mobilité (dans le train –j’en connais à qui c’est arrivé–, en voiture –vous n’imaginez pas le nombre de PC portables volés dans des voitures en stationnement, il suffit d’un coup de coude dans la vitre). Passé ce moment douloureux pour vous, on peut imaginer le pire, dont l’extraction des données à partir du disque dur. Et dans ce cas de figure, ce n’est pas votre mot de passe Windows qui va vous sauver.

Je parle ici de PC portable, mais n’oubliez pas que ça vaut aussi pour les clés USB (sans rire, j’ai trouvé une clé USB au sol, dans une école d »ingénieur où j’intervenais, perdue par un intervenant de chez… Thalès. Avec tout plein de diaporamas et PDF visiblement confidentiels, qui détaillaient le fonctionnement du chiffrement des communications par satellite de l’armée. Vous imaginez la portée potentielle du truc, si c’était une personne mal intentionnée qui l’avait trouvée ?), disques durs externes, et… téléphones portables !

 

Que faire, me direz-vous. Eh bien plusieurs choses :

  • les sauvegardes, CD/DVD-ROM, clés USB… doivent être rangées dans une armoire, un caisson de bureau, un coffre… Bref, un machin qui ferme à clé. ET QUE VOUS FERMEZ. Sans laisser la clé dessus 😀
  • pour tout ce qui est amovible et amené à bouger hors des murs de l’entreprise avec vous, il n’y a pas 36 solutions : le chiffrement. Y compris du disque dur interne à votre machine (pourquoi pas via le logiciel Cryhod, autrement plus fiable et robuste que cette bouse de Bitlocker intégrée à Windows). Pour vos disques externes, clés USB… vous pouvez vous tourner vers Veracryt (libre et gratuit), 7-zip (très pratique puisque 7-zip est portable et multi-plateforme), Peazip, Zed!…
  • pour les smartphones, à ne pas négliger dans la mesure où ils contiennent vos contacts pro, des données, vos courriels, les identifiants d’accès à votre messagerie… idem : le chiffrement, associé à un verrouillage d’écran robuste. Concernant les iPhone, c’est plutôt simple parait-il, si c’est pas automatique. Pour Android, et malgré les recommandations de Google qui demandait à ce que tout smartphone vendu avec Android 6.0 ou plus soit automatiquement chiffré lors du premier démarrage… Force est de constater que ce n’est pas le cas. Par contre, tous ces smartphones laissent la possibilité à l’utilisateur de le faire, très simplement. Si vous utilisez un outil de gestion de flotte mobile, vous pouvez forcer le chiffrement pour toute la flotte, sinon il faut passer sur chaque téléphone (sur mon smartphone, le chiffrement de la mémoire interne ne prend même pas 10 minutes).
    Je parlais de verrouillage d’écran robuste, je vais développer un tantinet. Exit le code PIN de 4 chiffres : trop rapide à casser par force brute, c’est ce que l’attaquant testera en premier, puisque historiquement les cartes SIM utilisaient un code limité à 4 chiffres et que les gens ont les habitudes dures (intuitivement, si on vous demande un PIN, vous taperez 4 chiffres sans vous poser de question : et voilà, le pirate le sait). Exit le schéma de déverrouillage, trop facile à mémoriser d’un regard par-dessus votre épaule et vulnérable aux smudge attacks (tracer ce schéma sur un écran laissera des marques de doigts assez visibles, pas forcément à l’œil nu, mais exploitables par qui s’en donnerait la peine). Le mieux reste une vraie phrase de passe, ou un PIN d’au moins 6 chiffres. Et idéalement, activer le PIN pré-boot (Android ne se lance même pas s’il n’est pas entré).
  • encore pour les smartphones, il est toujours utile d’avoir configuré un outil d’effacement à distance, en cas de perte/vol.

 

Utilisez des standards reconnus, pas un voile de fumée vendue par un éditeur peu scrupuleux

 

4. Vos données dans le cloud

Au risque de faire sourire les plus avertis d’entre vous, un rappel : « il n’y a pas de cloud, seulement l’ordinateur de quelqu’un d’autre ». Et ce « quelqu’un d’autre » n’est pas forcément très regardant en ce qui concerne la sécurité et la confidentialité des données que vous lui confiez.

Conseil essentiel : les Google Drive, Dropbox et autres iCloud, c’est non. De toutes façons si un contrôle de l’autorité de protection des données constate que vous mettez des données personnelles de tiers dans le nuage, vous allez au-devant d’ennuis. Autant ne pas tenter le coup. Si vraiment le cloud avait une utilité, ça se saurait faites appel à un prestataire sérieux et contractualisez les engagements en termes de sécurité, de confidentialité… Idéalement, rédigez et signez un PAS (Plan d’Assurance Sécurité).

Ne vous privez pas de rendre une visite voire d’auditer votre prestataire de services. Il m’est déjà arrivé d’auditer pour le compte d’un client son prestataire d’hébergement (OVH dans ce cas précis), c’est prévu dans le PAS, et ça se passe très bien.

Surtout : si vous avez la possibilité d’héberger votre cloud d’entreprise directement dans vos locaux, même si ça demande un peu plus de ressources, faites-le. C’est bien mieux pour vous, et pour vos données. Regardez du côté de Nextcloud, par exemple.

 

 

5. Faites des sauvegardes (chiffrées) !

Aaaah, les backups… Ce truc qui vous sauvera la vie quand un de vos utilisateurs se retrouvera avec un rançongiciel ! 😉

Bon, pour faire simple, il vous faut au moins 2 sauvegardes : une qui soit rapide d’accès, donc probablement dans votre entreprise, pour restaurer rapidement en cas de pépin pas trop grave ; une seconde externalisée (typiquement, en cas de cambriolage, d’incendie…). J’ai dit externalisée, pas « dans le cloud », hein ! Faites appel à une boîte dont c’est le métier, qui saura les conserver dans de bonnes conditions, aussi longtemps que nécessaire.

Et cela va sans dire, toutes les sauvegardes doivent être chiffrées !

Quant à la sauvegarde locale, elle doit être isolée du réseau principal, pour ne pas être atteinte en cas d’intrusion ou d’infection.

 

 

6. Sensibilisez votre personnel

C’est une des mesures les plus importantes : l’humain. Votre antivirus aura beau être efficace, il y aura toujours un humain pour brancher une clé USB trouvée par terre sur le parking, avec un joli virus qui attend dessus. Ce n’est qu’un exemple parmi une (très) longue liste, incluant les failles vieilles de 15 ans dans la suite MS Office qui font qu’une bête macro peut vous pourrir une machine (hint: passez à LibreOffice, sans rire). Tout ça pour dire que le premier et le plus efficace des remparts, c’est l’humain. Alors attention, ça ne dispense pas du reste, il faut associer les deux ! Là on ne lutte « que » contre le fameux « facteur humain » : errare humanum est, disait l’autre.

Tous les employés, quelles que soient leurs fonctions, quel que soit leur « grade »… doivent être sensibilisés afin de devenir des utilisateurs responsables des ressources informatiques de l’entreprise. Cela peut même prendre la forme de petits ateliers « bêtes », pourquoi pas pour apprendre à distinguer un mail de phishing d’un mail authentique, pour leur expliquer comment remonter l’information ou le doute… en gros, dispenser une culture de base de la sécurité informatique. En plus, ça leur servira même à la maison !

 

7. Gardez un œil sur les éventuels problèmes

Que ce soit une intrusion ou une infection par un virus quel qu’il soit, il peut parfois se passer énormément de temps avant qu’elle soit détectée. Je pense que personne dans l’aimable lectorat ne le niera : un virus/pirate qui traîne ses bits chafouins dans votre système informatique pendant des semaines, c’est de mauvaise augure.

Il nous faut donc configurer nos systèmes d’information pour conserver des traces de ce qu’il s’y passe (les fameux logs), et de se débrouiller pour que certains de ses évènements génèrent des alertes ou des actions automatisées. Et ces alertes, évidemment, il faut les traiter. Rapidement.

N’hésitez pas à faire appel à un spécialiste pour vous aider à évaluer la sécurité de votre installation : pas mal d’entreprises font réaliser par un prestataire externe des scans de vulnérabilités, des tests d’intrusion… Et tous les prestataires ne se valent pas. Vous pouvez évidemment me contacter à ce sujet, c’est ce que je fais au quotidien 😉

 

8. Formalisez les procédures

Si vous voulez que les choses soient faites comme vous les avez demandées, qu’un incident donne lieu à la réponse appropriée, qu’un ex-salarié rende clés et badges au moment de son départ… Il faut l’écrire, de façon à ce que tout le monde puisse consulter la « marche à suivre » lorsqu’il en a besoin.

S’il y a un document essentiel à (faire) rédiger, c’est la PSSI (Politique de Sécurité des Systèmes d’Information), qui traite une grande partie des points abordés dans cet article.

Vous en profiterez pour vérifier la conformité de votre système à d’éventuelles contraintes « normativo-légales » (genre PCI-DSS pour certains, CNIL ou CSI pour les caméras, la liste est longue comme un lundi sans café).

Ce sera aussi l’occasion de définir le comportement à adopter en cas de réel pépin (infection étendue, intrusion avérée, fuite de données personnelles sur le net) : se préparer à répondre à un incident de sécurité est aussi important que d’essayer de l’éviter. 🙂

La rédaction d’une charte informatique, annexée au règlement intérieur ou au contrat de travail et soumise à signature du salarié, permettra de rappeler les bases et la responsabilité de chaque acteur dès sa prise de fonctions, et constitue souvent la première brique de la sensibilisation des employés.

 

 

9. Ne collectez que le strict nécessaire

Ben oui, et pas seulement pour réduire vos coûts de stockage 😉

 

On est d’accord, un dossier patient (par exemple) se doit d’être à jour, détaillé… et gardé pour un temps limité (en France, la NS-050 qui encadre les cabinets médicaux [si tu es médecin et que tu ne sais pas de quoi je parle, il est plus que temps de faire cette déclaration auprès de la CNIL, parce que sinon ça sent le sapin pour toi] indique que les dossiers médicaux sont conservés 5 ans à compter de la dernière mention qui y est portée, puis archivés 15 ans sur support distinct. C’est comme ça, et pas autrement).

Pour autant, on ne collecte pas tout et n’importe quoi sous prétexte qu’on fait une fiche client. Si je commande une bouteille de gin sur CDiscount, on est d’accord que mon sexe ou mon numéro de sécu ne sont pas nécessaires à la fourniture du service (s’assurer d’être payé pour cette bouteille, et me la faire parvenir). Le numéro de sécurité sociale (ou NIR) est un cas à part, il est considéré comme sensible puisqu’en plus de vous identifier directement il révèle par lui-même un certain nombre d’informations supplémentaires (vous savez comment ça marche : sexe, année et mois de naissance, département…), sa collecte est strictement encadrée et interdite dans la plupart des cas.

Bref, tout ça pour dire que si votre but c’est d’envoyer une newsletter mensuelle par courriel histoire de détailler votre gamme de cosmétiques, collecter la pointure de chaussures de votre abonné ne vous servira au mieux à rien, et au pire vous collera une réputation nauséabonde en cas de fuite de données (quand les gens se rendront compte que vous collectez plus que le nécessaire sans raison, et qu’il se demanderont légitimement pourquoi –la réponse, généralement, c’est la revente à des courtiers en données, et étonnamment c’est mal perçu 😀 ).

 

En résumé : vérifiez la pertinence des données que vous collectez, pour vos clients comme pour votre entreprise. C’est souvent la finalité du traitement qui va vous aiguiller que ce qui est nécessaire à atteindre cette finalité et ce qui est superflu.

Et quand des données « anciennes » doivent passer de votre base active à une base d’archive, ce n’est pas une image : on parle bien de supports distincts, type local d’archives fermé à clé, ou une autre base de données isolée de la première et avec des accès restreints. Comme vous n’irez pas piocher dedans tous les 4 matins, ce n’est pas bien grave si l’accès y est plus compliqué.

 

10. Assurez-vous du travail de vos prestataires

On arrive à la fin de cet article un peu plus dense que prévu (pour moi, et sûrement pour vous !). Tout ce qui a été abordé représente un travail non négligeable, j’en conviens, surtout pour la mise en place initiale de barrières efficaces. La maintenance est un peu moins lourde.

C’est normalement là qu’une petite voix va se faire entendre dans les commentaires, pour souligner que telle ou telle PME n’a ni les ressources humaines ni les connaissances pour gérer ça efficacement.J’en conviens également, toutes les entreprises ne peuvent pas se permettre pour X raisons de traiter ces points en interne. La solution est toute trouvée : la prestation de services.

 


Je vais prendre un peu de votre temps, enfiler mon déguisement de Père Castor et vous raconter une histoire vécue, pour illustrer mon propos à suivre.

Il y a quelques années de ça, on a fait appel à mes services. L’entreprise avait reçu, en pleines vacances de Noël, un appel de son fournisseur d’accès à Internet : le serveur de messagerie de l’établissement, fermé comme je le disais, envoyait ~10.000 courriels par demi-heure (du spam) vers le serveur mail de ce fournisseur, chargé de redistribuer le courrier. Le FAI avait donc isolé temporairement le serveur mail de l’entreprise du reste de son réseau, et demandait au directeur de traiter cet incident, afin qu’il puisse rouvrir les vannes par la suite.

Au final, le souci était multiple : des utilisateurs pas du tout sensibilisés à la sécurité (et à l’environnement, puisque les mails partaient d’un poste laissé allumé dans un bureau « pour si je veux travailler à distance avec TeamViewer »), un serveur unique gérant partages réseaux, mails, imprimantes et sauvegardes..

Parlons un peu de ce serveur : accessible depuis l’extérieur, forcément, puisque connecté à Internet, au travers d’un « pare-feu » de chez WatchGuard (erk). Tournant sous Windows 2003 (donc ne recevant plus aucun support de la part de Microsoft depuis des années : des vulnérabilités critiques étaient présentes, qui ne seront jamais corrigées). En accès libre, sans autre protection qu’un mot de passe pas vraiment robuste (la machine est située dans le local repro, avec un gros photocopieur). Avec des logiciels plus utilisés, pas à jour et vulnérables. L’antivirus installé, « ESET », n’est pas vraiment connu pour son efficacité. Et évidemment, sur le bureau, des fichiers texte aux noms équivoques contenant les mots de passe à tous les services, y compris la clé de déchiffrement des sauvegardes. Bonus : l’entreprise traite des données sensibles, en partie médicales, concernant en grande partie des mineurs. Et l’ « administrateur système » n’en était pas un (en gros un employé « qui s’y connaît » d’après lui traitait le tout-venant, genre aller chercher un document Word supprimé par erreur dans le NAS de sauvegarde). Par contre, il conservait une base Access contenant l’intégralité des mots de passe des utilisateurs, en clair, « pour utiliser leur profil s’il ont un souci, sans me déplacer, ou s’ils oublient leur mot de passe ».

Là, vous allez me dire que vu le contexte, ouais, normal qu’il y ait un pépin.

Sauf que l’installation, la configuration, la maintenance… du réseau (postes clients, serveur, photocopieurs…) était déléguée à une société tierce, dont je tairais le nom évidemment. Je connaissais cette entreprise : elle vend des copieurs et les contrats de maintenance associés ; par contre j’ignorais totalement ses activités informatiques. Je convoque donc le prestataire, et lui expose le rapport d’audit, devant le directeur d’établissement, par ailleurs passablement agacé par les conclusions dudit rapport. Réponse de M. Presta : « non mais le jeune là il sait pas, il sort de l’école, y’a que là qu’on parle de sécurité, de libre, de Linux… Dans la vraie vie on utilise pas tout ça, les bugs ça arrive, là finalement y’a pas de conséquences, le problème a été réglé. »

Je vous laisse imaginer ma réaction, passé une seconde de silence où je pensais avoir mal entendu, et une autre seconde où je me suis étouffé d’indignation.

 

Ce presta a perdu ce contrat. Surpris ? 😛

 

J’en ai parlé une fois à la RSSI d’une école d’ingénieur où j’ai travaillé. Une femme absolument géniale, qui maîtrise à la perfection son métier, son périmètre… et qui a toujours été de bon conseil lorsque j’ai eu des questions. Elle aussi connaissait cette entreprise, et en gros sa conclusion a été : « leur métier c’est les photocopieurs, je sais même pas de quoi ils se mêlent à toucher à un ordinateur, à chacun son métier, moi je ne demande pas à mes équipes télécom de changer des toners ».

 

Fin de l’histoire.


 

Morale : choisissez votre prestataire avec soin, et surtout, validez qu’il fait bien son boulot. Vous ne serez pas à mêmes de juger si techniquement les choix sont bons, mais vous pouvez encadrer certaines choses, quand il vient sur site… et surtout vous devez cadrer contractuellement les choses : engagement de confidentialité, plan de reprise d’activité, copie de ses homologations s’il en a… et si ce prestataire a un accès distant à vos systèmes, ou qu’il héberge vos données, allez lui rendre une petite visite 😉

 

 

Mais quand bien même, il vous appartient de déléguer correctement votre responsabilité à ce sous-traitant : sinon, c’est à vous qu’il reviendra de vous assurer que les choses sont bien faites, et c’est vous qui répondrez des éventuelles conséquences. L’avantage, avec le RGPD, c’est que la CNIL pourra demander des comptes au sous-traitant si vous rencontrez un problème, et lui imposer une mise en conformité.

 

 

Un ultime (pour cette fois) conseil : demandez aussi à un prestataire spécialisé de détruire les supports contenant des informations confidentielles : papier, disques durs, clés USB… C’est trop facile de faire les poubelles pour récupérer des disques et copier des données supposément effacées ! 😉

 

 

Voilà voilà, on termine sur ces quelques mots. J’espère que cet article vous sera utile, et comme d’habitude n’hésitez pas à me faire un retour, à poser vos questions… et merci d’avoir lu jusqu’au bout !

 

#trolldi

Mots clés