Une très sérieuse étude menée par le CERT le confirme malheureusement encore. Pour celle-ci les secteurs les plus touchés sont l'informatique, la finance, et le secteur public. L'étude pointe le fait que la plupart des fraudes internes (68%) sont réalisées dans les trois semaines précédant le départ du fraudeur présumé (un véritable scoop). L'intérêt de l'étude n'est pas le fait que les scientifiques voudraient modéliser la fraude interne (bon courage), mais plutôt des exemples réels à méditer. En effet, car comme d'habitude, les utilisateurs rivalisent d'astuces parfois presque géniales. Des exemples :
- Le tour de passe-passe : un employé revenu de nuit sur son lieu de travail a pris le temps d'échanger les plaques nominatives entre son bureau et celui d'un collègue, puis est allé demander au veilleur de nuit de lui ouvrir "son" bureau car il en avait oublié les clés. Il a ainsi pu copier le contenu du poste de travail du collègue.
- Le contournement : L'entreprise avait des processus de dé-provisionnement efficaces et l'employé licencié le vendredi après-midi perdait immédiatement accès à tous ses comptes... logiques. Mais son accès physique n'ayant pas pu être révoqué avant le lundi matin, il a pu revenir durant le week-end et déclencher l'arrêt d'urgence de l'électricité dans la salle des serveurs.
- Les identités multiples : Avant d'être licencié cet administrateur réseau a pris soin de créer des comptes VPN pour le CEO et le CFO, qui manifestement n'en n'avaient aucune utilité. Ainsi, même privé de ses accès par un processus de dé-provisionnement efficace, l'employé a pu conserver un accès privilégié au Système d'Information pendant plusieurs semaines, et cela bien entendu sans éveiller de soupçons.
- Le commentaire de trop : Le développeur travaillant pour une société de loterie américaine avait bien entendu accès aux codes sources. Il a ainsi pu commenter une ligne : celle qui permettait d'alerter l'équipe sécurité lorsqu'une interface spécifique, rarement utilisée, était appelée. Il se trouve que cette interface permettait de vérifier manuellement la validité d'un billet gagnant en entrant son numéro de série...
- Le robinet reste ouvert : Chaque lundi en arrivant à son bureau cet administrateur réseau ouvrait une connexion SSH vers une machine installée à son domicile. Et lorsqu'il a été licencié pour faute grave avec interdiction de revenir à son poste de travail (et tous ses accès révoqués dans la foulée), il disposait toujours en arrivant chez lui d'un accès complet et privilégié au réseau. Ce qui lui a permis de détruire plusieurs systèmes auxquels il avait accès.
Cela laisse sans voix, non ?
Mais comment me direz vous éradiquer ce fléau (enfin plutôt en diminuer les conséquences, soyons humble), le CERT propose aussi un guide bonnes pratiques. En gros, Ne surtout pas sous estimer ce problème, avoir des procédures d'ouverture et surtout de fermeture des droits efficaces, une sensibilisation accrue à la sécurité des employés, bien qualifier les risques induits par certaines catégories de personnel (développeur, administrateurs réseaux systèmes) et bien sûr renforcer le monitoring des employés.
_