Un hacker pénètre dans un data center par les WC grâce à des plans disponibles publiquement !

Plan public du Data Center

Les entreprises pensent souvent à la sécurité de leurs systèmes informatiques, mais les cyberattaques peuvent aussi prendre place dans le monde réel. Et les hackers peuvent même passer par les toilettes !

Mais comment ce hacker a-t-il eu accès à ces plans ?

Andrew Tierney (alias @Cybergibbons) explique en détail sur son compte Twitter sa démarche. « Grâce » au manque de sensibilité à la cybersécurité, d’un ou plusieurs des salariés, les plans ont été rendu public ! Après analyse, il a trouvé comment s’infiltrer dans le data Center. 

Voici son récit : « Le Data Center avait des toilettes séparées pour les bureaux et pour la zone sécurisée où l’infrastructure IT était hébergée (cf. schémas issus des plans ci-contre). Cet espace était accessible par une porte accessible depuis les WC pour handicapés… » Ainsi, @Cybergibbons n’a eu qu’à entrer dans les toilettes et accéder au « couloir technique » via ces WC et sortir du côté « sécurisé ». Andrew Tierney conclus : « Le Data Center était censé être hautement sécurisé. Au portail d’entrée, le personnel devait par exemple déposer tous ses appareils numériques. 

Pourtant, le passage secret des toilettes était facilement accessible, et n’importe qui pouvait voir la disposition sur le plan disponible publiquementN’importe quel hacker aurait donc pu découvrir cet accès caché en étudiant un peu ce plan. »contre

La moindre faille, même la plus inopportune, est potentiellement exploitable par les cybercriminels.

A l’heure du Cloud, les contributeurs d’un projet de construction, vos collaborateurs, produisent et partagent des données hautement sensibles et confidentielles. Il est indispensable de comprendre l’importance de sécurisé les données d’un projet de construction dès sa phase de conception.

Les cybercriminels anticipent les mauvais usages autour des données numériques et redoublent d’ingéniosité, car il n’y a plus de frontière entre monde physique et numérique. Il est facile pour un hacker de passer par plusieurs moyens pour accéder au réseau de l’entreprise et s’en servir pour pirater des données ou déjouer la sécurité périphérique d’un site ou d’un bâtiment.

Si un simple plan 2D disponible publiquement, permet de mettre à mal la sécurité d’un Data center, imaginez le risque lié à des maquettes numérique, regorgeants d’informations !

Les données d’un projet produites en processus BIM (Building Information Modeling) ou CIM (City Information Modeling), peuvent renseigner, sur les systèmes, les réseaux d’énergie, la sécurité, etc…. 

Il est donc indispensable de sécuriser les processus de conception de vos projets. La fiabilité de vos actifs numériques ainsi que ceux de vos clients et partenaires en dépendent.

Jusqu’à présent les cybercriminels utilisent l’ingénierie sociale*, et notamment les techniques de phishing ou d’hameçonnage. Leur objectif est d’extorquer de l’argent ou de soutirer les identifiants d’un employé peu vigilant. Ce cas nous montre que dès aujourd’hui, il est aussi possible de monter des opérations d’infiltration pour mener des actes malveillants à partir de données de conception en libre d’accès. 

La récente directive NIS 2, qui désormais obliger plus de 150 000 entreprises publics et privées à mettre tous les moyens nécessaires pour lutter contre les attaques cyber, va accroître les exigences sur la sécurité des données partagées. 

Comment anticiper ce type d’attaque ?

L’ensemble des contributeurs d’un projet de construction doivent participer à la cybersécurité des actifs numérique de leurs clients sans quoi de nouvelles stratégies d’attaques, pourront alors, alimenter la rubrique “Cyberattaques” !

ScredIN vous accompagne, dès à présent dans la protection des données numériques de vos projets.

Nos atouts portent sur 3 axes : fiabiliser, sécuriser et gagner du temps !

Fiabiliser :

  •  Pas d’erreur humaine : automatisation du chiffrement/déchiffrement,
  •  Quel que soit l’usage : des données en permanence dans une zone sécurisée

Sécuriser :

  •   Une donnée toujours protégée : en utilisation, en stockage et en partage
  •  Conforme aux instructions interministérielles :  IGI 1300 | II920 | II 901
  •  Respecte les directives ANSSI
  • Technologie souveraine

Gagner du temps :

  •  ½ h par jour gagné en moyenne (ouverture de 10 documents)
  • L’intégration de la cybersécurité au sein de processus métier (tel que le BIM)s
Le parcours du hacker

« 41% des grandes entreprises et ETI surestiment leur maturité en cybersécurité ! »

NIS 2 : 150 000 structures vont devoir renforcer leur cybersécurité !

« Fiabilisez, sécurisez et gagnez du temps ! »
Echangez avec nos consultants​
#PT4T #ScredIN #NIS2 #SIR2 #ProtectTodayForTomorrow #CyberSecurite

(*) Ingénierie sociale. Définition de l’ANSSI : manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.

Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.

Pour recevoir notre Newsletter
Sources : @Cybergibbons | lebigdata.fr

Une question ?

gdpr-image
This website uses cookies to improve your experience. By using this website you agree to our Data Protection Policy.
Read more