Protection des données : de graves lacunes, un best of de ce qu’il ne faut pas faire

Résumé (pas) foireux : facepalm

Par le prisme des incidents ciblant des entités du secteur social, l’ANSSI dresse un bien triste et inquiétant état des lieux de la sécurité informatique. Si le rapport cible la profession, bien d’autres entités et sociétés devraient s’en inspirer pour vérifier si elles appliquent les bonnes règles.

Sébastien Gavois

Le 27 septembre 2024 à 09h38

7 min

Sécurité

Dans l’introduction de son rapport, l’Agence nationale de la sécurité des systèmes d'information rappelle à juste titre que « l’année 2023 et le début de l’année 2024 ont été marqués par de nombreux incidents ciblant des entités du secteur social gérant des données à caractère personnel ».

Des fuites massives sur des dizaines de millions de personnes

Nous en parlions d’ailleurs dans un édito au début de l’année. Les fuites ont même commencé en 2022 avec un demi-million de personnes à l’Assurance Maladie. C’est très peu comparé à la suite. En effet, ce sont 10 millions de personnes dont les données ont fuité chez Pôle emploi, 33 millions chez deux prestataires du tiers payant (Viamedis et Almerys) et enfin un « all-in » de France Travail avec 43 millions de personnes concernées.

On y retrouve des données personnelles comme les nom, prénom, numéro de Sécurité sociale, date de naissance ainsi que les adresses email et physique. Avec la taille gigantesque des bases de données, il faudrait avoir de la chance pour passer entre les gouttes. Une fois ces données dans la nature, il n’est plus possible de les changer pour une bonne partie d’entre elles.

[Édito] Internet, un annuaire des Français à ciel ouvert

L’ANSSI relève « des insuffisances de protection »

Il reste 79% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (14)

alex.d. Premium

Modifié le 27/09/2024 à 10h40

La SCAM ? En même temps, ils ont un nom prédestiné à avoir des problèmes !

SebGF Premium

Le 27/09/2024 à 11h16

Un florilège de ce qu’il ne faut pas faire

Pas cool de lister mes combats quotidiens.

swiper Premium

Le 27/09/2024 à 16h04

J'ai cru qu'ils parlaient de ma boite, mais finalement ouf, ils n'ont pas parlé du md5...

scandinave Premium

Le 27/09/2024 à 12h53

Le problème avec recommendations c'est que la plupart des boites n'ont tout simplement pas les compétences pour les mettres en place correctement.

Ce se transforme souvent en verrouillage intégrale rendant la vie impossible au équipe de développement .

Totor94

Le 28/09/2024 à 18h02

Je fais du dév, du build, de la prod et de l'exploit. Il n'y a pas un domaine qui ne soit pas impacté de manière absolument débile par les experts sécurité autoproclamés. Il est très rare de voir de la sécurité faite intelligemment et dans l'intérêt de la boîte elle même.

Le principal souci est souvent la direction, qui a été parachutée et qui ne connaît pas le métier de la boîte et encore moins à la sécurité. Elle fait confiance au premier exploitant qui a postulé en tant que RSSI ou en tant que DSI (les postes se confondent encore souvent), quand ce n'est pas le neveu ou le cousin a qui on a proposé le poste.

Ça m'arrive souvent que du jour au lendemain j'aie un "resposable cybersecurité", qui pourrait être mon fils, qui débarque avec la casquette RSSI et qui m'explique que mon travail n'est pas conforme à sa politique d'entreprise. Quand j'analyse ses règles et procédures, le plus souvent je découvre que le gars n'a rien fait de plus que de bêtement lister l'ensemble des règles reprises des conseils de l'ANSSI, sans discernement et surtout sans prendre en compte le métier de la boîte.

Au lieu d'avoir de vrais experts en place, nous assistons malheureusement à la naissance d'une nouvelle espèce de politiciens. Les refus de comm ou les tentatives d'étouffement des incidents en sont un belle illustration.

Je compatis, je confirme et je te comprends.

Vilainkrauko Premium

Le 27/09/2024 à 13h49

"À contrario, on évite aussi de tout mettre sur le dos du stagiaire (ceci est une recommandation de Next, pas de l’ANSSI)."

Jarodd Premium

Le 27/09/2024 à 17h40

Dans ma boite on remplit tous les 6 mois le même formulaire statique, avec des questions du genre :
- Un inconnu m'aborde dans la rue et me demande mon mot de passe de session : [ ] je le donne [ ] je le donne pas
Ensuite on envoie le screenshot du 20/20 à la DSI, et on se retrouve dans 6 mois pour le même formulaire.
Mais avec tous le personnel qui a 20/20, on peut dire que tout est sécurisé, non ?

SebGF Premium

Le 27/09/2024 à 18h22

Le plus drôle c'est que l'attaquant n'a pas besoin de demander un mot de passe à quelqu'un dans la rue. J'ai arrêté de compter la construction Entreprise!2024.

cthoumieux Premium

Le 28/09/2024 à 10h32

Tu exagère..
Comme les passwords ne sont pas renouvelés car hardcodé au fin fond d'un programme non supporté mais critique, tu as le numéro de l'année qui peut changer...
2000, 1975,..
C'est une vraie mitigation du risque

Totor94

Modifié le 28/09/2024 à 18h11

@SebGF : oh, le nombre de "changeme" ou "changeoninstall" que je vois sur les prod.... même pas besoin de chercher de la complexité

SebGF Premium

Le 29/09/2024 à 11h49

Avec "changeit" t'as accès à, je dirais, les 3/4 des JKS du monde.

Totor94

Modifié le 28/09/2024 à 18h09

@Jarodd : Le DSI, ne serait-il pas cousin du Président, à tout hasard ?

Totor94

Le 28/09/2024 à 18h14

Un inconnu m'aborde dans la rue et me demande mon mot de passe de session : [ ] je le donne [ ] je le donne pas
il manque l'option " [ ] ça dépend "

Maxt Premium

Le 30/09/2024 à 16h07

ça dépend, ça dépasse