RTL rapporte que les données personnelles d’environ 112 000 fonctionnaires de police ainsi que celles de leurs proches, adhérents à la Mutuelle Générale de la Police se sont retrouvées sans protection sur internet. Dans ce cas particulier, il ne s’agirait pas d’une attaque, mais plutôt d’une vengeance d’un ancien employé de la mutuelle suite à un différend avec sa hiérarchie pour une histoire de primes non versées.RTL avance que l’affaire remonte au 2 juin dernier , lorsqu'un responsable d'agence de la mutuelle, installé à Limoges, décide de copier le fichier des adhérents pour le télécharger sur le cloud de Google. En clair, les adresses et numéros de téléphone de 112 000 policiers, actifs et retraités, se retrouvent alors sur un support non sécurisé, protégé par un simple mot de passe. La direction de la mutuelle, qui a mis à pied l'employé indélicat, a mis trois semaines pour découvrir l'étendue des dégâts.
S’exprimant sur le sujet, Norman Girard, Vice Président et directeur général Europe de Varonis a déclaré : « une fois encore l’actualité démontre qu’un grand nombre de vols de données sont dus aux employés, malveillants ou non. La plupart des employés ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les employés peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.
Dans le cas du vol dont a été victime la Mutuelle Générale de la Police, on constate que c’est un employé en conflit avec sa direction qui a copié, puis envoyé à l’extérieur via un service cloud des données confidentielles. Comme dans la majorité des cas de piratage interne : un événement déclencheur fait basculer une personne de confiance dans un état de mécontentement qui servira de point de départ à un vol d’informations. Les raisons qui poussent un employé à se transformer en pirate sont multiples (promotion refusée, déception vis-à-vis de la direction de la société, problèmes financiers, départ chez un concurrent, activisme, etc.), et le résultat peut avoir des conséquences désastreuses.
Il est toutefois important de souligner que, tandis que l’employé malveillant a pris les précautions nécessaires pour exfiltrer des données, et les publier via un compte anonyme sur un service cloud, les équipes informatiques de la Mutuelle Générale de la Police ont été en mesure d’identifier via analyse post-mortem, la source de la fuite d’informations et la copie massive de données. Il est donc à mon sens essentiel de saluer ce travail d’investigation. On l’oublie souvent, mais bon nombre des fuites de données restent impunies, faute d’outillages et de moyens techniques. En vue d’améliorer encore le niveau de sécurité de la Mutuelle Générale de la Police, la prochaine étape consisterait à faire un travail de suivi et d'analyse précis de la façon dont les salariés utilisent les données, de profilage des rôles et des comportements de sorte à élaborer un schéma de protection proactif. »
Nicolas Conte, secrétaire général adjoint du syndicat Unité SGP Police-FO, estime que la situation est extrêmement préoccupante d’autant plus qu’elle intervient dans un contexte où l’anonymat des policiers semble de plus en plus difficile à protéger. Nicolas Conte réclame des institutions qu’elles renforcent leur sécurité. En attendant les conclusions de l'enquête judiciaire, Google France a été prié d'effacer les données sensibles de ses fichiers.
Pour Joël Mollo, Directeur EMEA de Skyhigh Networks, « l'employé de la Mutuelle Générale de la Police a utilisé le service cloud Google Drive qui ne nécessite aucune installation sur le poste de travail. En moyenne, une entreprise européenne type utilise plus de 1038 applications cloud et quelques-unes en utilisent jusqu’à 6000 ! Toutes ces applications ne sont pas légitimes et l’on constate que beaucoup d’employés utilisent de nombreux services à l’insu de leur direction et des autorisations du département informatique. C’est ce que l’on appelle couramment le shadow IT ».
Il estime pour sa part que « si la Mutuelle Générale de la Police avait surveillé le trafic cloud, elle aurait pu détecter le transfert de données au moment où il quittait l'organisation, au lieu de s’en apercevoir des semaines plus tard. Beaucoup d’organisations négligent encore ce que l’on appelle la menace interne ».
Source : RTL
Voir aussi :
Un ressortissant chinois, ex-employé d'une société américaine poursuivi pour espionnage économique et vol de code source propriétaire Oracle, accusé par une ancienne employée de gonfler ses résultats relatifs au cloud, envisage une action en justice pour poursuites abusives 
Envoyé par ZenZiTone
