Les fuites de données défraient la chronique.
Evidemment, les incidents induits par une menace humaine volontaire, beaucoup moins.
Dans son édition du 14 octobre dernier, La Lettre rapportait toutefois une audience devant le Tribunal Correctionnel de Paris, devant lequel comparaissait… l’ancien responsable du Centre des opérations de cybersécurité d’un célèbre laboratoire pharmaceutique. Dur. D’autant plus que le prévenu – c’est ainsi qu’est juridiquement désignée une personne poursuivie devant une juridiction pénale – avait été recommandé par un tout aussi célèbre PASSI (Prestataire d’audit de la sécurité des systèmes d’information qualifié par l’ANSSI)!
Commençons par nous rassurer : cette histoire relève de l’épiphénomène.
Des enseignements peuvent en être tirés, en termes de sécurité de l’information:
1️⃣ Nul n’est à l’abri du doute
2️⃣ Dans la mesure du possible, et pour paraphraser le non moins célèbre Winston, mieux vaut éviter de mettre tous ses oeufs dans le même panier
3️⃣ Tracez tous les accès, internes comme externes!
4️⃣ Déposez toujours plainte en cas de compromission de données : les forces de l’ordre ont des moyens que le commun des responsables de traitement n’a pas
5️⃣ Ne taguez pas vos données « Confidentiel » : dans un accord de confidentialité, énumérez les typologies de données confidentielles, ne vous limitez pas aux documents ainsi estampillés.