Tesla, le célèbre constructeur américain de voitures électriques, accuse l’un de ses anciens employés de vol de données sensibles et de secrets industriels. D’après Tesla, Sterling Anderson, ex-responsable d’Autopilot (l’assistance d’aide à la conduite permettant aux voitures Tesla d’effectuer de manière autonome des manœuvres telles que le freinage d’urgence) aurait copié des « centaines de giga-octets de données sensibles et quatre secrets industriels » pour les utiliser à des fins concurrentielles au profit d’une entreprise créée avec son associé, ancien responsable voitures autonomes de Google.
Sandór Bálint, Responsable Sécurité Sciences appliquées des données chez l’éditeur de solutions de sécurité contextuelle Balabit, vous propose son commentaire :
« Les administrateurs (réseaux, systèmes, etc.) possédant les droits d’accès les plus élevés aux systèmes informatiques de l’entreprise sont souvent désignés comme les utilisateurs privilégiés de l’entreprise. Mais en réalité, toute personne au sein de l’entreprise ayant accès à des informations sensibles devrait être considérée comme un utilisateur privilégié, c’est à dire disposant de droits d’accès privilégiés, quel que soit sa fonction, son département, son ancienneté ou son niveau de rémunération.
Pour beaucoup d’entreprises, un accès élargi aux données est souhaité d’un point de vue business pour rendre le business plus agile, pour renforcer la coopération interne, ou encore pour permettre des prises de décisions plus rapides. L’analyse est pertinente car les données et les différentes façons de traiter ces données constituent la principale valeur de l’entreprise et le principal avantage concurrentiel de l’entreprise par rapport à ses concurrents. Et en effet, réduire les restrictions de droits d’accès se traduit généralement par une augmentation des recettes et, par conséquent, un contrôle strict de l’accès est souvent considéré comme un obstacle pour les entreprises. Cela a pour conséquence une explosion du nombre d’utilisateurs privilégiés au sein des entreprises et un bouleversement implicite de l’équilibre entre sécurité et confiance, allant largement dans le sens de la confiance. Où la sécurité s’arrête commence la confiance, mais malheureusement lorsque cette confiance est rompue, c’est la sécurité qui en souffre.
Le cas de Tesla doit faire office d’exemple car trop nombreuses sont les entreprises qui ne surveillent pas ou trop peu leurs employés. Une entreprise qui traite des données confidentielles de grande valeur comme c’est le cas de Tesla, ne devrait tout simplement en aucun cas permettre que des centaines de giga-octets de ses données les plus sensibles ne soient copiées sur un disque dur externe de l’un de ses employés. Il n’y a effectivement aucune raison légitime pour que de telles données (encore plus dans un tel volume) soient stockées sur un disque dur externe d’un employé. La sauvegarde et la restauration de telles informations devraient être gérées exclusivement par les responsables informatiques de l’entreprise. Ces actions, même si elles ne peuvent pas être entièrement évitées, devraient être au moins détectées par les contrôles internes et une fois détectées, elles devraient déclencher une enquête immédiate et entraîner éventuellement une action corrective.
Il est important, voire même obligatoire aujourd’hui de faire confiance à ses employés pour obtenir un travail de qualité. Mais cette confiance ne doit pas nécessairement être une confiance aveugle. « Faire confiance mais vérifier » est un principe de sécurité fondamental éprouvé. Cloisonner les données sensibles pour en garantir la sécurité n’est pas réaliste tout simplement car l’entreprise n’en a pas les moyens techniques, et cela n’est pas pertinent d’un point de vue business. Mais cela ne signifie pas qu’il n’est pas possible de surveiller ces données en continu et de réagir immédiatement si quelque chose de suspect se produit.
Des technologies de surveillance améliorées, y compris des outils d’analyses comportementales avancées, rendent plus probable la détection de ce type d’actions. Une combinaison entre la découverte rapide de l’action suspecte et un processus de réponse rapide, offre souvent une bonne alternative aux contrôles préventifs, tout en évitant les contraintes sur le business de l’entreprise ».