Gouvernance

Les ex-membres du conseil d’administration peuvent être à l’origine de sérieux problèmes de sécurité

Les initiés représentent une des menaces les plus importantes envers la sécurité du réseau et des données d’une société. Alors que les conversations sur les menaces se concentrent souvent sur les erreurs accidentelles des initiés, un type d’initié est souvent négligé : l’ex-initié, notamment les anciens membres du conseil d’administration. Le service informatique oublie trop souvent de supprimer les comptes réseau des ex-initiés. Dans le cas des membres du conseil d’administration, le service informatique n’est peut-être pas toujours avisé immédiatement des personnes qui ne doivent plus bénéficier de cet accès.

Selon une étude menée par IS Decisions, un tiers des ex-initiés a toujours accès au réseau des sociétés. Selon cette étude, un quart des services informatiques ne fait rien pour révoquer cet accès réseau lors du départ d’un initié. Cela signifie que les comptes des initiés sont toujours intacts, tous les noms d’utilisateur et mots de passe restent actifs, et toutes les autorisations d’accès aux bases de données, aux fichiers sensibles et à la propriété intellectuelle sont toujours en vigueur.

L’étude menée par IS Decisions s’est principalement concentrée sur les ex-employés, les personnes qui accédaient régulièrement au réseau et dont le départ était traité par les différents services de l’entreprise. Même lorsque le service informatique fait le nécessaire pour désactiver les comptes, cela peut prendre jusqu’à une semaine, voire plus, ce qui laisse beaucoup de temps aux ex-initiés mécontents pour provoquer des dégâts.

Souvent, les conseils d’administration et la cybersécurité de l’entreprise se retrouvent étroitement liés. Comme l’a écrit Sanford Sherizen pour Tech Target, « Alors que la sécurité informatique est cruciale pour l’avenir d’une société, elle est en concurrence avec d’autres priorités critiques aux yeux du conseil d’administration : comme celle d’assurer les chiffres du trimestre suivant. » Plus les membres du conseil d’administration comprennent l’importance de la cybersécurité de l’entreprise pendant leur mandat, plus ils tendront à respecter cette sécurité au moment de leur départ.

Bien sûr, il est important de prendre en considération la manière dont un membre du conseil d’administration devient un ex-membre pour évaluer sa loyauté envers l’entreprise. Un membre du conseil à mandat à durée déterminée ou limité à un certain nombre de mandats, ou qui demande un congé aura sans doute une attitude plus positive envers la société que quelqu’un qui est forcé de partir contre son gré.

Un ex-membre du conseil contrarié pourrait se révéler aussi dangereux qu’un ex-employé mécontent et, selon les rapports du FBI, Bloomberg a signalé que, les ex-initiés mécontents ont pu « extorquer de l’argent à leur employeur en modifiant ou en limitant l’accès aux sites web de la société, en désactivant des fonctions du système de gestion de contenu et en mettant en place des attaques de déni de service distribué. » Ils sont également à l’origine de pertes financières significatives et du vol de propriété intellectuelle.

La prévention de cette menace de sécurité de la part des ex-membres du conseil d’administration commence au moment où ils sont actifs. Premièrement, comme devrait le faire toute entreprise avec tout employé, les conseils d’administration devraient limiter l’accès réseau en fonction des besoins. Si toutes leurs interactions peuvent se faire via un portail pour conseils d’administration, par exemple, il faut se limiter à cet accès réseau. Toutes les autorisations d’accès avec privilèges doivent être surveillées attentivement par le service informatique.

Deuxièmement, évitez toute trace sur papier. Dès que les fichiers du conseil d’administration sont imprimés et distribués, l’entreprise perd tout contrôle sur ceux-ci. Ces fichiers peuvent être copiés et conservés par un membre du conseil, même s’ils sont supposés être détruits. Un dossier sur papier peut mener à des fuites et à du sabotage lorsque les documents se retrouvent dans de mauvaises mains. Les entreprises doivent plutôt envisager de les conserver autant que possible au format numérique, sous contrôle de l’entreprise elle-même.

Enfin, dès le départ d’un membre du conseil d’administration, tout accès réseau doit être fermé immédiatement, y compris sur le portail pour conseils d’administration.

« Les attaques de l’intérieur sont une des plus fortes menaces envers vos données et vos systèmes », selon les propos de Cortney Thompson, CTO (Directeur technique) chez Green House Data dans le CIO magazine. Reconnaître que les ex-membres du conseil peuvent représenter un risque et prendre les mesures qui s’imposent pour les empêcher d’agir contribue à la prévention des incidents de sécurité potentiels.

BLOGS À NE PAS MANQUER