IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 549
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 549
    Points : 155 618
    Points
    155 618
    Par défaut Toulouse : les données de 112 000 fonctionnaires de police ont été téléchargées sur Google Cloud
    Toulouse : les données de 112 000 fonctionnaires de police ont été téléchargées sur Google Cloud
    par un ancien employé suite à un différend avec sa hiérarchie

    RTL rapporte que les données personnelles d’environ 112 000 fonctionnaires de police ainsi que celles de leurs proches, adhérents à la Mutuelle Générale de la Police se sont retrouvées sans protection sur internet. Dans ce cas particulier, il ne s’agirait pas d’une attaque, mais plutôt d’une vengeance d’un ancien employé de la mutuelle suite à un différend avec sa hiérarchie pour une histoire de primes non versées.

    RTL avance que l’affaire remonte au 2 juin dernier , lorsqu'un responsable d'agence de la mutuelle, installé à Limoges, décide de copier le fichier des adhérents pour le télécharger sur le cloud de Google. En clair, les adresses et numéros de téléphone de 112 000 policiers, actifs et retraités, se retrouvent alors sur un support non sécurisé, protégé par un simple mot de passe. La direction de la mutuelle, qui a mis à pied l'employé indélicat, a mis trois semaines pour découvrir l'étendue des dégâts.

    S’exprimant sur le sujet, Norman Girard, Vice Président et directeur général Europe de Varonis a déclaré : « une fois encore l’actualité démontre qu’un grand nombre de vols de données sont dus aux employés, malveillants ou non. La plupart des employés ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les employés peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.

    Dans le cas du vol dont a été victime la Mutuelle Générale de la Police, on constate que c’est un employé en conflit avec sa direction qui a copié, puis envoyé à l’extérieur via un service cloud des données confidentielles. Comme dans la majorité des cas de piratage interne : un événement déclencheur fait basculer une personne de confiance dans un état de mécontentement qui servira de point de départ à un vol d’informations. Les raisons qui poussent un employé à se transformer en pirate sont multiples (promotion refusée, déception vis-à-vis de la direction de la société, problèmes financiers, départ chez un concurrent, activisme, etc.), et le résultat peut avoir des conséquences désastreuses.

    Il est toutefois important de souligner que, tandis que l’employé malveillant a pris les précautions nécessaires pour exfiltrer des données, et les publier via un compte anonyme sur un service cloud, les équipes informatiques de la Mutuelle Générale de la Police ont été en mesure d’identifier via analyse post-mortem, la source de la fuite d’informations et la copie massive de données. Il est donc à mon sens essentiel de saluer ce travail d’investigation. On l’oublie souvent, mais bon nombre des fuites de données restent impunies, faute d’outillages et de moyens techniques. En vue d’améliorer encore le niveau de sécurité de la Mutuelle Générale de la Police, la prochaine étape consisterait à faire un travail de suivi et d'analyse précis de la façon dont les salariés utilisent les données, de profilage des rôles et des comportements de sorte à élaborer un schéma de protection proactif. »

    Nicolas Conte, secrétaire général adjoint du syndicat Unité SGP Police-FO, estime que la situation est extrêmement préoccupante d’autant plus qu’elle intervient dans un contexte où l’anonymat des policiers semble de plus en plus difficile à protéger. Nicolas Conte réclame des institutions qu’elles renforcent leur sécurité. En attendant les conclusions de l'enquête judiciaire, Google France a été prié d'effacer les données sensibles de ses fichiers.

    Pour Joël Mollo, Directeur EMEA de Skyhigh Networks, « l'employé de la Mutuelle Générale de la Police a utilisé le service cloud Google Drive qui ne nécessite aucune installation sur le poste de travail. En moyenne, une entreprise européenne type utilise plus de 1038 applications cloud et quelques-unes en utilisent jusqu’à 6000 ! Toutes ces applications ne sont pas légitimes et l’on constate que beaucoup d’employés utilisent de nombreux services à l’insu de leur direction et des autorisations du département informatique. C’est ce que l’on appelle couramment le shadow IT ».

    Il estime pour sa part que « si la Mutuelle Générale de la Police avait surveillé le trafic cloud, elle aurait pu détecter le transfert de données au moment où il quittait l'organisation, au lieu de s’en apercevoir des semaines plus tard. Beaucoup d’organisations négligent encore ce que l’on appelle la menace interne ».

    Source : RTL

    Voir aussi :

    Un ressortissant chinois, ex-employé d'une société américaine poursuivi pour espionnage économique et vol de code source propriétaire

    Oracle, accusé par une ancienne employée de gonfler ses résultats relatifs au cloud, envisage une action en justice pour poursuites abusives
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    dk
    dk est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    juin 2004
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2004
    Messages : 75
    Points : 234
    Points
    234
    Par défaut
    C'est vraiment d'une bêtise sans nom

  3. #3
    Membre expérimenté Avatar de Uranne-jimmy
    Homme Profil pro
    Bioinformatique
    Inscrit en
    décembre 2012
    Messages
    778
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Bioinformatique
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : décembre 2012
    Messages : 778
    Points : 1 457
    Points
    1 457
    Par défaut
    La plupart des employés ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les employés peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.
    Maintenant faisons une petite modification :

    La plupart des services de renseignement/gouvernements/Grandes entreprises du net ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les services de renseignement/gouvernements/Grandes entreprises du net peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.
    Expert en recherche google caféinomane

  4. #4
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    juin 2003
    Messages
    5 735
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : juin 2003
    Messages : 5 735
    Points : 10 567
    Points
    10 567
    Billets dans le blog
    3
    Par défaut
    C'est pas son employeur qui subit la vengeance mais 112.000 autres personnes. Il suffit qu'une sur dix milles décide de se venger de ce mec pour qu'il soit sérieusement dans la merde!

  5. #5
    Membre du Club
    Homme Profil pro
    Architecte technique
    Inscrit en
    janvier 2015
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Yonne (Bourgogne)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : janvier 2015
    Messages : 28
    Points : 69
    Points
    69
    Par défaut
    Dans le cas d'une personne fragile, je pense surtout que ses supérieurs auraient du plus être au fait de la situation psychologique de son employé à la vue de ses responsabilités. Hélas ça ne sert à rien de tenter de traiter la cause quand on ne traite pas la conséquence. Trop de pression, des problèmes personnels... Je ne dis pas que ce qu'il a fait est bien, je pense juste que l'IT a démontrer qu'infantiliser les utilisateurs n'est pas une bonne chose...
    Pour info, je voudrais bien savoir le nombre d'administrations (service du DGFIP compris) qui ne travaillent pas avec leurs outils internes mais avec un tableur type excel ou autre avant de recopier juste le nécessaire sur l'outil officiel...
    Ce type de document sortie sur une clé ou envoyé par mail et la fuite est quasi invisible... Sans parler de ceux qui sont blindés de chevaux de Troie mais qui ne comprennent même pas ce que c'est...

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2015
    Messages
    1 105
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2015
    Messages : 1 105
    Points : 2 535
    Points
    2 535
    Par défaut
    C'est vraiment criminel et j'espère que le responsable sera jugé. C'est juste nickel pour inciter nos dizaines de milliers de Merah potentiels à imiter le tueur de Magnanville.
    "If the revolution ain't gon' be televised
    Then fuck, I'll probably miss it" - Aesop Rock

  7. #7
    Membre habitué Avatar de bclinton
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    47
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 47
    Points : 146
    Points
    146
    Par défaut
    Faut-il retenir de cette info le fait que les employés ne sont pas assez (bien) fliqués ?

  8. #8
    Membre expert
    Homme Profil pro
    Développeur .NET
    Inscrit en
    octobre 2013
    Messages
    1 563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2013
    Messages : 1 563
    Points : 3 400
    Points
    3 400
    Par défaut
    Citation Envoyé par bclinton Voir le message
    Faut-il retenir de cette info le fait que les employés ne sont pas assez (bien) fliqués ?
    Non, seulement que les systèmes d'informations se sont pas suffisamment protégés. Et par protéger, je n'entends pas "fliquer", mais mettre à disposition les informations dont l'utilisateur à besoin, pas plus, pas moins. C'est ce qui est dit dans la news justement. Après il y aura des cas où une personne qui a besoin d'information sensibles pour son travail quotidien puisse en abuser pour se "venger" de son employeur. Donc certain diront qu'ils faut encore plus sécuriser et fliquer pour le coup, d'autre diront qu'il faut améliorer les conditions de travail pour éviter ce genre de soucis...

  9. #9
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 829
    Points
    7 829
    Par défaut
    Citation Envoyé par ZenZiTone Voir le message
    Non, seulement que les systèmes d'informations se sont pas suffisamment protégés. Et par protéger, je n'entends pas "fliquer", mais mettre à disposition les informations dont l'utilisateur à besoin, pas plus, pas moins. C'est ce qui est dit dans la news justement. Après il y aura des cas où une personne qui a besoin d'information sensibles pour son travail quotidien puisse en abuser pour se "venger" de son employeur. Donc certain diront qu'ils faut encore plus sécuriser et fliquer pour le coup, d'autre diront qu'il faut améliorer les conditions de travail pour éviter ce genre de soucis...
    Un employé de mutuel a besoin d'accéder aux fiches des adhérents.
    Cela fait parti de son travail.
    Mettre une sécurité pour ne permettre d'accéder qu'à une seule fiche à la fois ne sécurise rien du tout (ça ne fait que ralentir).
    En quelques semaines, un robot simpliste peut récupérer l'intégralité de la base à raison de quelques centaines d'accès par jour.
    Si les accès aux données sensibles ne sont ni tracés ni analysés, on ne détecte rien du tout.

    Dans le cadre de l'activité professionnelle, c'est de la sécurité.
    Les employés doivent être informés que toutes les actions qu'ils effectuent au sein du SI de l'entreprise sont enregistrées.

    Par contre, sur l'espace publique et concernant la vie privé, c'est totalement différent.

  10. #10
    Membre émérite

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    930
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 930
    Points : 2 306
    Points
    2 306
    Par défaut
    Autre exemple
    J'ai fait de la compta au recouvrement d'une grande société, qui avait un gros gros fichier client.
    J'ai regardé la mienne par curiosité(il y a préscription)
    On pouvait retrouver facilement une personne.
    On ne communiquait seulement que entre antennes, alors je me méfiait pas tout le temps.
    Mais des fois on avait des appels de gens extérieur, qui essayait de nous duper, surment des commerciaux pour leur fichier clients.
    Parce qu'on leur avait donner le numéro.
    Si on ne faisait pas gaffe on pouvait se faire avoir.
    Généralement je les repérais car ils n''avaient pas toutes les informations qu'on me fournissait habituellement et que je sentais qu'ils cherchaient à repomper la fiche client adresse numéro de téléphone.

    Mais il y a aussi le mec jalou, qui va espionner sa copine.. ou l'inverse
    Ou qui va utiliser les ressources pour retrouver les coordonnées de son ex....
    Il y a pas pire que les frustrés pour détourner les ressources
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

Discussions similaires

  1. Réponses: 13
    Dernier message: 06/02/2014, 10h44
  2. Réponses: 2
    Dernier message: 16/08/2012, 11h28
  3. Réponses: 2
    Dernier message: 18/08/2009, 11h19
  4. Réponses: 4
    Dernier message: 18/08/2003, 10h53
  5. trier les données dans le cache ??
    Par psyco2604 dans le forum XSL/XSLT/XPATH
    Réponses: 31
    Dernier message: 10/06/2003, 11h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo