Dans son numéro du mois de décembre, Le Mensuel de Rennes a consacré une enquête au marché de la seconde main. Un chapitre se focalisait sur le devenir du matériel informatique revendu dans des magasins d’occasion. Le média s’est tourné vers le centre d’expertise en cybersécurité ACCEIS pour analyser 12 disques durs et des téléphones portables. À la surprise des experts de l’agence, trois d’entre eux contenaient les données d’une mairie d’une commune voisine de Rennes. Acteur de cette démarche, Yves Duchesne, expert en cybersécurité chez ACCEIS, revient sur cette enquête et souligne le manque de compétences en sécurité informatique chez les petites collectivités et les petits prestataires.
Des trouvailles aussi inattendues qu’attendues
Qu’advient-il de nos données personnelles lorsque l’on revend son matériel informatique à une enseigne d’achat-vente de produits d’occasion ? C’est la question que s’est posée Le Mensuel de Rennes, dans son édition du mois de décembre, dans le cadre d’une enquête plus large sur le marché de la seconde main.
Pour répondre à cette question, le média a mis la main sur une douzaine de disques durs et trois téléphones portables d’occasion. Ce butin a ensuite été confié à ACCEIS, centre d’expertise en cybersécurité qui a assuré un rôle d’expert technique dans la genèse de l’article.
Une fois branchés, les appareils délivrent leurs premiers secrets. Les téléphones portables ne donnent rien. Ce sont les disques durs qui vont alerter les experts d’ACCEIS. Six d’entre eux n’ont pas été formatés avant d’être revendus, cinq autres l’ont été mais des données ont pu être restaurées. Seul un disque est vide. Et parmi les données récupérées, celles d’une mairie d’une commune proche de Rennes. Mails, informations personnelles, photos… Un cadeau du ciel pour toute personne malveillante. “Dès le départ du projet, nous ne nous faisions aucune illusion, assure Yves Duchesne, expert en cybersécurité au sein d’ACCEIS. Nous savions très bien que nous allions récupérer des données. En revanche, nous ne nous attendions pas à tomber sur celles d’une mairie…”
Coup de chance ?
De là à parler de coup de chance que les experts d’ACCEIS et Le Mensuel de Rennes soient tombés sur ces informations ? Pas vraiment selon Yves Duchesne : “ll vaut mieux que cela tombe chez nous. Mais mon impression personnelle est que le niveau de cybercriminalité n’est pas, encore, ce qu’il pourrait être s’il y avait plus d’attaquants. Si c’était le cas, nous aurions plus de problèmes. Je ne pense pas qu’un cybercriminel ferait la démarche d’aller acheter un lot de disques durs en seconde main, quand des modes opératoires, comme le phishing, existent et garantissent une plus grande facilité de mise en œuvre et un meilleur anonymat.”
Un trou d’air de compétences
Selon l’expert, “l’article est alarmant et met le doigt sur les problématiques de fond. C’est-à-dire les manques de moyens et le trou d’air en matière de compétences cyber des petites structures et collectivités qui sont parfois uniquement accompagnées par des prestataires d’infogérance.”
Sans tirer à boulets rouges sur les infogéreurs “qui font très bien leur métier de mise à disposition de système d’information et de maintenance”, Yves Duchesne pointe cependant “le manque de bons réflexes et de garanties cyber, pour certains. Nous avons tout un tissu économique qui a besoin d’infogéreurs de proximité. Ce sont parfois des structures de taille réduite et en raison de la pénurie de main d’œuvre, ils ne peuvent malheureusement pas tous avoir des compétences en matière de cybersécurité.”
Comment donc, les aider à être plus armés pour éviter, à l’avenir, que des données confidentielles se retrouvent dans la nature ? “L’ANSSI propose différents labels pour attester du niveau des prestataires sur des sujets précis, avance Yves Duchesne. C’est le cas du label PAMS (prestataires d’administration et de maintenance sécurisées). Cependant, il est destiné à des structures importantes. Cela ne résout donc pas la problématique de l’infogérance de terrain à petite échelle. Nous souffrons d’un tel déficit de compétences en matière de cybersécurité. Nous pouvons toujours former les infogéreurs ou leur imposer un minimum de compétences, mais comment et par qui ?”
Challenger ses prestataires pour se prémunir de telles situations
Mieux vaut prévenir que guérir. L’adage est connu, mais en matière de cybersécurité, il prend une importance particulière, surtout lorsque l’on est une collectivité ou une entreprise. Pour parer d’éventuelles fuites de données en se défaisant de son matériel informatique, Yves Duchesne conseille de “demander, aux prestataires, des comptes et des preuves concrètes du niveau de sécurité dans le traitement des données. Il ne faut pas se contenter de leur demander s’ils font de la cybersécurité mais leur poser des questions, sur les sauvegardes, les mises à jour, la cryptographie, la protection des données. Il faut exiger des éléments tangibles.” Il cite les exemples des labels de l’ANSSI et de la certification ISO27001. “Cette certification internationale est adossée à des référentiels. Elle permet de garantir le niveau de sécurité de l’activité d’infogérance. Il faut se fier à ce genre de choses plutôt qu’aux paroles. Il faut challenger ses prestataires.”