in

Tesla accuse un ancien responsable de vol de secrets industriels – Réaction de Balabit

Tesla, le célèbre constructeur américain de voitures électriques, accuse l’un de ses anciens employés de vol de données sensibles et de secrets industriels. D’après Tesla, Sterling Anderson, ex-responsable d’Autopilot (l’assistance d’aide à la conduite permettant aux voitures Tesla d’effectuer de manière autonome des manœuvres telles que le freinage d’urgence) aurait copié des « centaines de giga-octets de données sensibles et quatre secrets industriels » pour les utiliser à des fins concurrentielles au profit d’une entreprise créée avec son associé, ancien responsable voitures autonomes de Google.

Sandór Bálint, Responsable Sécurité Sciences appliquées des données chez l’éditeur de solutions de sécurité contextuelle Balabit, vous propose son commentaire :

« Les administrateurs (réseaux, systèmes, etc.) possédant les droits d’accès les plus élevés aux systèmes informatiques de l’entreprise sont souvent désignés comme les utilisateurs privilégiés de l’entreprise. Mais en réalité, toute personne au sein de l’entreprise ayant accès à des informations sensibles devrait être considérée comme un utilisateur privilégié, c’est à dire disposant de droits d’accès privilégiés, quel que soit sa fonction, son département, son ancienneté ou son niveau de rémunération.

Pour beaucoup d’entreprises, un accès élargi aux données est souhaité d’un point de vue business pour rendre le business plus agile, pour renforcer la coopération interne, ou encore pour permettre des prises de décisions plus rapides. L’analyse est pertinente car les données et les différentes façons de traiter ces données constituent la principale valeur de l’entreprise et le principal avantage concurrentiel de l’entreprise par rapport à ses concurrents. Et en effet, réduire les restrictions de droits d’accès se traduit généralement par une augmentation des recettes et, par conséquent, un contrôle strict de l’accès est souvent considéré comme un obstacle pour les entreprises. Cela a pour conséquence une explosion du nombre d’utilisateurs privilégiés au sein des entreprises et un bouleversement implicite de l’équilibre entre sécurité et confiance, allant largement dans le sens de la confiance. Où la sécurité s’arrête commence la confiance, mais malheureusement lorsque cette confiance est rompue, c’est la sécurité qui en souffre. 

Le cas de Tesla doit faire office d’exemple car trop nombreuses sont les entreprises qui ne surveillent pas ou trop peu leurs employés. Une entreprise qui traite des données confidentielles de grande valeur comme c’est le cas de Tesla, ne devrait tout simplement en aucun cas permettre que des centaines de giga-octets de ses données les plus sensibles ne soient copiées sur un disque dur externe de l’un de ses employés. Il n’y a effectivement aucune raison légitime pour que de telles données (encore plus dans un tel volume) soient stockées sur un disque dur externe d’un employé. La sauvegarde et la restauration de telles informations devraient être gérées exclusivement par les responsables informatiques de l’entreprise. Ces actions, même si elles ne peuvent pas être entièrement évitées, devraient être au moins détectées par les contrôles internes et une fois détectées, elles devraient déclencher une enquête immédiate et entraîner éventuellement une action corrective.

Il est important, voire même obligatoire aujourd’hui de faire confiance à ses employés pour obtenir un travail de qualité. Mais cette confiance ne doit pas nécessairement être une confiance aveugle. « Faire confiance mais vérifier » est un principe de sécurité fondamental éprouvé. Cloisonner les données sensibles pour en garantir la sécurité n’est pas réaliste tout simplement car l’entreprise n’en a pas les moyens techniques, et cela n’est pas pertinent d’un point de vue business. Mais cela ne signifie pas qu’il n’est pas possible de surveiller ces données en continu et de réagir immédiatement si quelque chose de suspect se produit.

Des technologies de surveillance améliorées, y compris des outils d’analyses comportementales avancées, rendent plus probable la détection de ce type d’actions. Une combinaison entre la découverte rapide de l’action suspecte et un processus de réponse rapide, offre souvent une bonne alternative aux contrôles préventifs, tout en évitant les contraintes sur le business de l’entreprise ».

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.