À la suite du rapport d'enquête officiel sur la fuite de données massive dont il a été victime entre 2017 et 2019, affectant les informations personnelles de presque 10 millions de canadiens, le Mouvement Desjardins revient sur les mesures de protection mises en œuvre afin d'éviter que ne se reproduise une telle « mésaventure » à l'avenir.
Nous savions depuis sa révélation publique qu'un employé indélicat était à l'origine de l'incident. Nous apprenons maintenant que cette personne ne disposait que de droits d'accès restreints à la source originelle des informations sensibles qu'elle a collectées et détournées pendant deux ans. En réalité, elle s'approvisionnait à partir d'une réplique que ses collègues – possédant, eux, les privilèges requis – entretenaient régulièrement sur un volume de stockage partagé, beaucoup moins sécurisé.
La réponse apportée par l'institution comprend un vaste ensemble d'actions, qui ressortent d'un programme classique de protection des données, comme il s'en trouve dans toutes les entreprises du secteur : nomination de responsables, mise en place de structures dédiées, déploiement de diverses solutions techniques de surveillance et de prévention, renforcement des politiques, développement de la formation des effectifs… L'objectif est clair : bloquer à tout prix les utilisations indues de l'information.
Or l'affaire soulève une question absolument essentielle qui n'est hélas jamais abordée dans la présentation de cet arsenal répressif… et qui laisse planer un doute persistant sur la validité de la ligne de défense instaurée. En remontant la chaîne des événements, il vaut pourtant de se demander pourquoi des individus, a priori sensés, avaient pris l'habitude d'extraire les données incriminées et d'en conserver une copie dans un environnement indépendant, sans prendre toutes les précautions nécessaires.
L'analyse de ces comportements serait peut-être le plus sûr moyen d'échapper à leurs conséquences désastreuses. Ainsi, il est probable que la motivation de ces « inconscients » était de rechercher les meilleures conditions pour réaliser les tâches qui leur sont confiées. Exploiter des outils de dernière génération, profiter d'une plate-forme flexible, bénéficier d'une puissance de calcul incomparable… sont autant de raisons pour lesquelles les petits écarts de ce genre sont plus fréquents qu'on ne le croit.
Quand le département informatique insiste pour fournir des logiciels antédiluviens, impose des mois d'attente pour la moindre installation ou encore interdit à des collaborateurs un peu bricoleurs, surtout du côté des lignes métier, de tester une idée sur un jeu de données de production, faut-il s'étonner que certains prennent des raccourcis ? Et ce n'est évidemment pas en multipliant les obstacles que la situation s'améliorera : soit ils trouveront un autre subterfuge, potentiellement plus dangereux, afin de les surmonter, soit ils abandonneront leurs efforts et l'entreprise risque d'y perdre en efficacité.
Il n'est certainement pas question d'excuser les bévues magistrales, aux répercussions (éventuellement) dramatiques pour les victimes et pour la banque, d'une poignée de salariés imprudents. En revanche, l'événement pourrait servir de révélateur des lacunes majeures qui en sont la cause profonde, notamment dans le système d'information, de manière à comprendre et mieux accompagner les besoins des utilisateurs qui, pour la plupart, se préoccupent avant tout de résultats optimisés et de performance.
Bonjour,
RépondreSupprimerEt bravo encore et toujours pour votre travail.
Vous avez tout à fait raison, et ce raisonnement rejoint à mon avis tout ce que l'on peut lire sur ce qui est très souvent présenté, par les organisations victimes, comme des cyberattaques, alors que très fréquemment, hors opérations ciblées et revendiquées, il s'agit d'un comportement humain interne qui fait, par erreur et/ou lacune, rentrer le ver dans le fruit.
Meilleure fin d'année possible à vous.
Cdt.
PR