Le risque cyber du pétage de plomb chez les adminsys – INCYBER NEWS
Alerte Cyber

Le risque cyber du pétage de plomb chez les adminsys – INCYBER NEWS

artia13 14 Views

Bon, difficile de l’avoir raté, l’attaque du groupe HGO (1 et 2) en Bretagne était apparemment le fait d’un ancien employé de la DSI. Dans les toutes premières heures de l’information, on a parlé d’un ancien RSSI, mais il semblerait plutôt que ce soit un ancien admin réseau du groupe, dont le contrat n’avait pas été prolongé et dont les motivations, à ce stade, ne sont pas clairement établies – et je ne disserterai pas sur ce cas qui est en cours d’instruction.

Dans les premières moutures de mes analyses de risques internes, j’avais identifié cette menace dans la catégorie « Armageddon », car il peut y avoir de très gros dégâts. Et, pour en avoir discuté avec des décideurs qui sont loin de la technique, il faut savoir que se prémunir contre ce genre de menace est extrêmement compliqué, très cher et l’efficacité des mesures de prévention techniques reste à démontrer : même la NSA n’y est pas parvenue (cf l’affaire Manning, à l’origine des Wikileaks).

D’autant que, pour complexifier le raisonnement, les motivations d’un adminsys qui casse tout peuvent être variées. On y trouve, en vrac : 

– l’adminsys qui veut se venger d’un licenciement ;

– l’adminsys à motivations idéologiques, genre celui qui pendant le COVID a volontairement fait fuité la base des vaccination car antivax ;

– l’adminsys qui veut rançonner son entreprise ;

– l’adminsys qui joue avec les allumettes, genre le gars qui essaye de tester un petit truc pour voir et qui en fait casse tout le datacenter (on les appelle des Géo Trouvetous) ;

– l’adminsys avec le syndrome du sauveur, qui casse tout pour venir réparer et se présenter en héros…mais qui en fait casse tout  (on les appelle des crétins).

Et mauvaise nouvelles : les contre mesures préventives ne sont pas les mêmes selon les cas. Et pire, dans certains cas (par exemple les adminsys agissant par motivations idéologiques) il n’y a même pas de mesure pour réduire le risque face à un adminsys déterminé.

Soyons clair : dans la santé en tout cas, presque aucune DSI n’a mis en place de dispositif structuré et efficace, à part la sensibilisation (pour les deux derniers cas). Pour le premier, à part supprimer les accès (surtout distants) à J+1 du départ (voire même la semaine de l’annonce du licenciement si on est paranoïaque comme moi), pas grand-chose à faire. Pour les cas 2 et 3 il y a le cierge à Lourdes.

Alors on fait quoi ?

Réponse : rien.

A titre personnel, et dans la santé, en 25 ans de pratique et sur 3000 établissements, j’ai vu ce cas (en version grave s’entend) très exactement 3 fois. A ce niveau de fréquence, désolé de le dire brutalement, on est dans l’épaisseur du trait statistique et il y a plus urgent, surtout compte tenu du niveau financier des mesures qui ne seront en plus que partiellement efficaces.

Etant entendu bien sûr que la sensibilisation c’est OBLIGATOIRE et que ne pas supprimer les accès d’un agent qui a quitté l’établissement c’est une faute, et quand en plus c’est un adminsys c’est une grosse faute (attention les ID sont souvent différents). Là on serait dans la zone d’humiliation, le truc qu’on savait qu’on devait faire, qu’on savait que si on ne le fait pas on passe pour des idiots, qu’on n’a pas fait – et on passe pour des idiots.

D’ailleurs ceci est totalement dans l’esprit des méthodes d’analyse de risques classiques, qui stipulent bien qu’il faut « procéder à une évaluation réaliste de la vraisemblance d’apparition des risques identifiés » (Evangiles selon l’AFNOR, chapitre 6-1-2-d-2). Si après on le voit arriver toutes les semaines, on réévaluera.

Par contre c’est bien de l’avoir identifié dans une bibliothèque de menaces, à réévaluer régulièrement, au côté de « le DSI enlevé par des Martiens » (très peu fréquent), « Le ransomeware qui arrive par une publicité Zara » (très fréquent) et « 2 gros avions qui tombent sur les 2 tours de l’hôpital » (très peu fréquent, un seul cas connu).

De rien.

1 – https://www.letelegramme.fr/bretagne/mis-en-cause-dans-une-cyberattaque-denvergure-en-bretagne-lancien-informaticien-compromis-par-son-adresse-ip-6730913.php

2 – https://www.20minutes.fr/faits_divers/faits-divers-rennes/4130630-20241223-rennes-apres-cyberattaque-groupe-hospitalier-ancien-responsable-securite-informatique-interpelle

The post Le risque cyber du pétage de plomb chez les adminsys appeared first on INCYBER NEWS.

Auteur : Meliss@11

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4735 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

Fuite de données chez TEMU, 87 millions de comptes compromis ! #cybersecurity #cyberattack

Fuite de données chez TEMU, 87 millions de comptes compromis ! #cybersecurity #cyberattack

artia13
Pourquoi faire de la cybersécurité pour les STARTUPS ? Enjeux & Tendances

Pourquoi faire de la cybersécurité pour les STARTUPS ? Enjeux & Tendances

artia13
La Moldavie arrête l’auteur d’attaques par rançongiciel contre des entreprises néerlandaises – INCYBER NEWS

La Moldavie arrête l’auteur d’attaques par rançongiciel contre des entreprises néerlandaises – INCYBER NEWS

artia13