Maksim Kabakou - Fotolia
Fuite des données personnelles de 112 000 policiers
Les adresses et numéros de téléphones d’adhérents à la Mutuelle Générale de la Police et de leurs proches ont été dérobées par un responsable d’agence, soulevant la question des contrôles d’accès.
La Mutuelle Générale de la Police (MGP) sécurise-t-elle suffisamment l’accès aux données personnelles de ses adhérents ? C’est la question qui vient immédiatement à l’esprit alors que les données de 112 000 d’entre eux et de leurs proches ont pu être dérobées par responsable d’agence.
Pire, selon RTL, qui révèle l’affaire, la MGP aurait mis trois semaines à découvrir l’incident. Les données volées ont été stockées, par l’employé indélicat, aujourd’hui mis à pied, sur le service Cloud de Google.
Dans un communiqué, Joël Mollo, directeur EMEA de Skyhigh Networks, souligne toutefois que « beaucoup d’organisations négligent encore ce que l’on appelle la menace interne. Des employés mécontents peuvent en effet être la source de fuites de données, et comme ceux-ci possèdent parfois de trop nombreuses habilitations, il devient difficile de contrôler ce risque ».
Nos confrères n’indiquent toutefois pas si le transfert s’est fait directement depuis un poste de travail de la MGP ou depuis un ordinateur personnel, après transit temporaire par une clé USB ou une boîte de messagerie électronique. Difficile, dans ce contexte, de savoir si une solution de contrôle des accès aux services Cloud aurait pu prévenir l’incident.
Normand Girard, vice-président et directeur général Europe de Varonis, relève toutefois que « les équipes informatiques de la Mutuelle Générale de Police ont été en mesurer d’identifier, via analyse post-mortem, la source de la fuite d’information et la copie massive de données ». De quoi laisser à penser que l’employé en question a œuvré directement depuis son poste de travail.
Malgré un délai de trois semaines, Normand Girard s’attache à « saluer le travail d’investigation » des équipes informatiques de la MGP, et suggère « un travail de suivi et d’analyse précis de la façon dont les salariés utilisent les données, de profilage des rôles, et des comportements, de sorte à élaborer un schéma de protection proactif ».