Les PMEs commettent souvent ce genre d’erreurs : attaque de la chaîne d’approvisionnement

Étude de cas : analyse de mesures de sécurité insuffisantes au sein d’une petite agence de publicité.

Bill n’aime pas recevoir des appels de bon matin. Ce n’est pas qu’il soit fainéant, mais il considère que nous devrions nous mettre au travail une fois que notre équilibre émotionnel, affecté par le tumulte matinal, ait été rétabli, et non après avoir bu une seconde tasse de café. Cependant, le téléphone n’arrête pas de sonner.

« Laissez-moi respirer ! Les gens ne savent pas qu’il est impoli de raccrocher après trois sonneries ! Aucun respect ! Et si j’étais occupé et en train de terminer un travail important ? » grommelle Bill, tout en essayant d’attraper son téléphone, caché sous une pile de fichiers, et qui sonne à nouveau.

« Bill, mon ordinateur ne détecte pas ma clé USB » se plaint le graphiste au téléphone.

« C’est normal, il y a bien longtemps que j’ai désactivé tous les ports de vos ordinateurs ! Vous savez que tous les fichiers doivent être chargés à partir d’un ordinateur sécurisé. Voyez-ça avec Albert ! S’il n’en tenait qu’à moi, je couperai Internet ! » a-t-il répondu tout en pensant qu’il avait bien envie de l’étriper.

« Oui, je sais ! Mais je ne suis pas le seul. Aucun ordinateur ne détecte la clé USB ! Aidez-nous s’il-vous-plaît, c’est un projet vraiment important. Nous devons changer rapidement la mise en page sinon ils vont nous tuer. Albert ne revient qu’après manger. »

« Dwight, nous savons tous que chaque tâche doit passer par Albert, tous les documents doivent être sauvegardés sur son ordinateur. C’est le seul du département qui a un antivirus. Peu importe, qui vous a soudainement donné ces fichiers sauvegardés sur une clé USB ? »

« Christine. Elle m’a demandé de corriger rapidement la mise en page du prospectus. C’est assez urgent. Il faut l’imprimer dès que possible. Elle va me tuer si on ne le fait pas rapidement, et ça lui est égal qu’Albert ne soit pas là. Vous savez comment elle est. »

« Vos clés USB auront raison de moi. Bon, j’arrive. »

Bill raccroche et regarde pensif le plafond. Oui, la patronne est un vrai dragon, c’est vrai, et elle se moque éperdument des normes, et notamment de la procédure à suivre pour transférer les fichiers provenant d’une source externe. L’administrateur du système se lève, s’étire, prend son ordinateur portable, et se dirige vers le département de design.

Les propriétaires de Magenta Elk, une agence de publicité, considèrent qu’ils sont assez rusés. Ils ont commencé comme studio de design familial, mais désormais Magenta Elk est une entreprise qui compte près de 100 employés, avec un département entier de designers et un directeur créatif qui arrivent à satisfaire toutes les exigences, même celles des clients les plus fous, un département de développement Web, et même sa propre imprimerie, même si elle est assez petite et est une ancienne petite entreprise rachetée il y a 3 ans. Parmi ses clients, on trouve entre autres plusieurs grandes entreprises internationales qui font confiance à l’agence pour gérer leurs campagnes publicitaires.

Cependant, les patrons n’ont jamais trouvé les ressources nécessaires pour développer un département informatique qui soit quelque peu décent. Bill s’occupe de tous les appareils. Il réparait des ordinateurs en tant qu’homme à tout faire sur demande, avant d’être embauché il y a quelques années. Il n’a toujours pas réussi à convaincre ses patrons d’embaucher au moins une personne supplémentaire pour l’aider.

« Donnez-moi votre clé USB ! » ronchonne Bill qui ouvre son ordinateur portable tout en s’approchant. « Qu’est-ce que vous ne pouvez pas ouvrir ? Tout fonctionne à la perfection sur mon ordinateur. Les pilotes s’installent… analyse, on parie… ouvrir… voici le fichier du projet. »

C’est à ce moment-là que l’antivirus affiche un avertissement en rouge : « Objet malveillant Trojan.downloader.thirdeye.n détecté. » Bill regarde l’écran bouche bée.

« Dwight, qu’est-ce que c’est que ça ? Avez-vous essayé d’ouvrir ce fichier sur un autre ordinateur ? » Bill montre du doigt le fichier en question, Layout_corrections.docx.exe.

« Sinon comment aurais-je pu savoir quels changements je devais faire ? J’ai essayé, mais le fichier ne s’ouvrait pas. Je cliquais, et il ne se passait rien. »

« Vous ne vous êtes pas rendu compte qu’il ne s’agissait même pas d’un document ?! L’extension est EXE ! »

« Je ne pouvais pas voir l’extension. Je ne voyais que l’icône et le nom du fichier. Pourquoi me criez-vous dessus ? Je n’ai fait qu’ouvrir le fichier que Christine m’a envoyé ! »

« Il me semble que c’est assez logique. Les extensions des fichiers connus ne s’affichent pas. » réfléchit Bill. « Bon, gardons notre calme. Sur quels ordinateurs avez-vous essayé d’ouvrir ce fichier ? »

« Eh bien, sur celui d’Anna Miller, en comptabilité. Puis sur l’ordinateur portable du photographe. J’ai aussi demandé à Lena en logistique, Tom en développement Web, mais aussi Kate… Qu’est-ce qui se passe ? C’est un virus ? Je n’y suis pour rien ! Peut-être que le photographe avait un virus ! »

« Il ne s’agit pas d’un virus quelconque, mais bel et bien d’un cheval de Troie conçu sur mesure spécialement pour vous ! Il n’attaque pas les ordinateurs au hasard ; quelqu’un l’a mis sur cette clé USB expressément ! » Bill se connecte à l’interface Web du routeur pour isoler les ordinateurs mentionnés. « Au fait, comment avez-vous obtenu le mot de passe de Christine ? Elle est partie hier en voyage d’affaires. »

« Il est écrit sur un morceau de papier collé sous son clavier, tout le monde le sait… » marmonne le graphiste qui est encore sur la défensive. « Je n’ai pas pris la clé USB chez moi ni rien, je ne l’ai trouvée qu’hier ! »

« Qu’est-ce que ça veut dire « trouvée » ? » demande Bill étonné.

« Eh bien, elle a laissé la clé USB en réception avec une note qui disait de modifier la mise en page dès que possible. »

« Avez-vous perdu la tête ? Christine était là presque toute la journée hier. Pourquoi aurait-elle laissé une clé USB avec des instructions marquées sur un papier ? Vous laisse-t-elle souvent ce genre de messages ? Vous savez qu’elle préfère dire les choses en personne. De plus, elle aurait mis les fichiers sur le serveur ! Mince, le serveur ! » Bill tape à nouveau sur le clavier. « N’importe qui peut laisser quelque chose en réception. Dites-moi exactement quand cela est arrivé. »

« Je ne sais pas. C’est arrivé hier soir ; j’allais partir lorsqu’Yvonne m’a dit que quelqu’un avait laissé une enveloppe avec une clé USB. Elle était sortie manger, donc elle n’a pas pu voir de qui il s’agissait. Je suis revenu, puis j’ai essayé d’ouvrir le fichier sur l’ordinateur portable d’Anna, de Christine… Puis vous connaissez la suite de l’histoire. »

« Dwight, vous comprenez bien que quelqu’un… » un appel l’interrompt. C’est le PDG. « J’ai un mauvais pressentiment… »

« Qu’est-ce qui se passe ? Pourquoi n’êtes-vous pas à votre bureau ? » demande le PDG en colère.

« Je suis désolé, mais les designers ont un problème. Quelqu’un a laissé une clé USB… »

« Oubliez les designers  » coupe le PDG. « Je viens de recevoir un appel de l’entreprise Österberg & Jones. Leur site Internet est inondé de virus depuis hier soir. À part eux, nous sommes les seuls à avoir accès à leur site, afin de mettre à jour leurs bannières. J’ai besoin de preuves pour démontrer que nous ne sommes pas à l’origine de cette attaque. Je pars bien sûr du principe que ce n’est pas notre faute. »

« Hmm… Qui y avait accès ? » demande Bill faiblissant.

« Je ne sais pas vraiment. Certains employés du département de développement Web. Ils ont conçu leur site Internet. Peut-être Dwight. Christine, sans aucun doute. C’est son client, et vous savez qu’elle adore tout contrôler. »

« Hmm… là est le problème… » Le son de la voix de Viktor baisse soudainement. « En réalité, je pense que c’est notre faute. »

« Nous sommes finis. Ils nous menacent d’entamer des poursuites judiciaires. Si c’est de notre faute, nous avons certaines explications à donner. Je veux recevoir une analyse détaillée ce soir au plus tard. Si vous avez besoin de spécialistes externes pour mener cette enquête, vous devez me le dire tout de suite. J’ai besoin d’un rapport complet et honnête lorsque j’irai voir Österberg & Jones en rampant. Maintenant faites-moi un bref résumé. Qu’est-ce qui s’est passé ? »

« Il semblerait que quelqu’un nous ait délibérément attaqué en laissant une clé USB infectée. Österberg & Jones était probablement la vraie cible. Vous savez quelle est la situation en matière de sécurité. Je fais ce que je peux, mais nous n’avons pas assez d’équipement, de personnel, de matériel… Même l’antivirus n’est pas… »

« D’accord, c’est bon, j’ai compris. C’est une façon polie de me dire que je suis un idiot. Vous aurez vos employés, et un antivirus pour tout le monde. Si nous survivons à cette épreuve, ce dont je doute fortement. »

Enseignements à tirer

  • L’entreprise a sa propre démarche à suivre lorsqu’il s’agit de travailler avec des fichiers provenant de sources externes, et elle est parfaitement valable. Cependant, certains employés qui considèrent que certains projets sont plus importants que la sécurité, ne la suivent pas à la lettre. En réalité, la sécurité devrait même être au-dessus des ordres directs donnés par la direction.
  • Trop de personnes peuvent accéder aux ressources des clients. Ce problème s’aggrave puisque personne ne sait vraiment qui a accès à quoi. Dans l’idéal, seulement un ou deux employés devraient connaître ces informations. De plus, il devrait être nécessaire de saisir les identifiants d’accès lors de chaque connexion. C’est une très mauvaise idée de les sauvegarder dans le navigateur, puisqu’il est possible d’accéder au site Internet depuis un ordinateur non protégé.
  • Il peut sembler absurde d’écrire les mots de passe sur un morceau de papier et de les coller sous le clavier, mais en réalité de nombreuses entreprises utilisent cette méthode. Cette technique est totalement inacceptable, même si personne ne vient jamais à votre bureau, parce ce que les employés peuvent parfois causer beaucoup de dégâts.
  • Vous devez installer une solution de sécurité de confiance sur tous les appareils, sans exception.
Conseils