Le risque cyber du pétage de plomb chez les adminsys – INCYBER NEWS
Bon, difficile de l’avoir raté, l’attaque du groupe HGO (1 et 2) en Bretagne était apparemment le fait d’un ancien employé de la DSI. Dans les toutes premières heures de l’information, on a parlé d’un ancien RSSI, mais il semblerait plutôt que ce soit un ancien admin réseau du groupe, dont le contrat n’avait pas été prolongé et dont les motivations, à ce stade, ne sont pas clairement établies – et je ne disserterai pas sur ce cas qui est en cours d’instruction.
Dans les premières moutures de mes analyses de risques internes, j’avais identifié cette menace dans la catégorie « Armageddon », car il peut y avoir de très gros dégâts. Et, pour en avoir discuté avec des décideurs qui sont loin de la technique, il faut savoir que se prémunir contre ce genre de menace est extrêmement compliqué, très cher et l’efficacité des mesures de prévention techniques reste à démontrer : même la NSA n’y est pas parvenue (cf l’affaire Manning, à l’origine des Wikileaks).
D’autant que, pour complexifier le raisonnement, les motivations d’un adminsys qui casse tout peuvent être variées. On y trouve, en vrac :
– l’adminsys qui veut se venger d’un licenciement ;
– l’adminsys à motivations idéologiques, genre celui qui pendant le COVID a volontairement fait fuité la base des vaccination car antivax ;
– l’adminsys qui veut rançonner son entreprise ;
– l’adminsys qui joue avec les allumettes, genre le gars qui essaye de tester un petit truc pour voir et qui en fait casse tout le datacenter (on les appelle des Géo Trouvetous) ;
– l’adminsys avec le syndrome du sauveur, qui casse tout pour venir réparer et se présenter en héros…mais qui en fait casse tout (on les appelle des crétins).
Et mauvaise nouvelles : les contre mesures préventives ne sont pas les mêmes selon les cas. Et pire, dans certains cas (par exemple les adminsys agissant par motivations idéologiques) il n’y a même pas de mesure pour réduire le risque face à un adminsys déterminé.
Soyons clair : dans la santé en tout cas, presque aucune DSI n’a mis en place de dispositif structuré et efficace, à part la sensibilisation (pour les deux derniers cas). Pour le premier, à part supprimer les accès (surtout distants) à J+1 du départ (voire même la semaine de l’annonce du licenciement si on est paranoïaque comme moi), pas grand-chose à faire. Pour les cas 2 et 3 il y a le cierge à Lourdes.
Alors on fait quoi ?
Réponse : rien.
A titre personnel, et dans la santé, en 25 ans de pratique et sur 3000 établissements, j’ai vu ce cas (en version grave s’entend) très exactement 3 fois. A ce niveau de fréquence, désolé de le dire brutalement, on est dans l’épaisseur du trait statistique et il y a plus urgent, surtout compte tenu du niveau financier des mesures qui ne seront en plus que partiellement efficaces.
Etant entendu bien sûr que la sensibilisation c’est OBLIGATOIRE et que ne pas supprimer les accès d’un agent qui a quitté l’établissement c’est une faute, et quand en plus c’est un adminsys c’est une grosse faute (attention les ID sont souvent différents). Là on serait dans la zone d’humiliation, le truc qu’on savait qu’on devait faire, qu’on savait que si on ne le fait pas on passe pour des idiots, qu’on n’a pas fait – et on passe pour des idiots.
D’ailleurs ceci est totalement dans l’esprit des méthodes d’analyse de risques classiques, qui stipulent bien qu’il faut « procéder à une évaluation réaliste de la vraisemblance d’apparition des risques identifiés » (Evangiles selon l’AFNOR, chapitre 6-1-2-d-2). Si après on le voit arriver toutes les semaines, on réévaluera.
Par contre c’est bien de l’avoir identifié dans une bibliothèque de menaces, à réévaluer régulièrement, au côté de « le DSI enlevé par des Martiens » (très peu fréquent), « Le ransomeware qui arrive par une publicité Zara » (très fréquent) et « 2 gros avions qui tombent sur les 2 tours de l’hôpital » (très peu fréquent, un seul cas connu).
De rien.
The post Le risque cyber du pétage de plomb chez les adminsys appeared first on INCYBER NEWS.
Auteur : Meliss@11
Aller à la source
