Les entreprises pensent souvent à la sécurité de leurs systèmes informatiques, mais les cyberattaques peuvent aussi prendre place dans le monde réel. Et les hackers peuvent même passer par les toilettes !
Plan public du Data Center
Mais comment ce hacker a-t-il eu accès à ces plans ?
Andrew Tierney (@Cybergibbons) sur son compte Twitter sa démarche. « Grâce » au manque de sensibilité à la cybersécurité, d’un ou plusieurs des salariés, les plans ont été rendu public ! Après analyse, il a trouvé comment s’infiltrer dans le data Center.
Voici son récit : « Le Data Center avait des toilettes séparées pour les bureaux et pour la zone sécurisée où l’infrastructure IT était hébergée (cf. schémas issus des plans ci-contre). Cet espace était accessible par une porte accessible depuis les WC pour handicapés… » Ainsi, @Cybergibbons n’a eu qu’à entrer dans les toilettes et accéder au « couloir technique » via ces WC et sortir du côté « sécurisé ». Andrew Tierney conclus : « Le Data Center était censé être hautement sécurisé. Au portail d’entrée, le personnel devait par exemple déposer tous ses appareils numériques.
Pourtant, le passage secret des toilettes était facilement accessible, et n’importe qui pouvait voir la disposition sur le plan disponible publiquement. N’importe quel hacker aurait donc pu découvrir cet accès caché en étudiant un peu ce plan.
La moindre faille, même la plus inopportune, est potentiellement exploitable par les cybercriminels.
A l’heure du Cloud, les contributeurs d’un projet de construction, vos collaborateurs, produisent et partagent des données hautement sensibles et confidentielles. Il est indispensable de comprendre l’importance de sécurisé les données d’un projet de construction dès sa phase de conception.
Jusqu’à présent les cybercriminels utilisent l’ingénierie sociale*, et notamment les techniques de phishing ou d’hameçonnage. Leur objectif est d’extorquer de l’argent ou de soutirer les identifiants d’un employé peu vigilant. Ce cas nous montre que dès aujourd’hui, il est aussi possible de monter des opérations d’infiltration pour mener des actes malveillants à partir de données de conception en libre d’accès.
La récente directive NIS 2, qui désormais obliger plus de 150 000 entreprises publics et privées à mettre tous les moyens nécessaires pour lutter contre les attaques cyber, va accroître les exigences sur la sécurité des données partagées.
Comment anticiper ce type d’attaque ?
L’ensemble des contributeurs d’un projet de construction doivent participer à la cybersécurité des actifs numérique de leurs clients sans quoi de nouvelles stratégies d’attaques, pourront alors, alimenter la rubrique « Cyberattaques » !
ScredIN vous accompagne, dès à présent dans la protection des données numériques de vos projets.
Nos atouts portent sur 3 axes : fiabiliser, sécuriser et gagner du temps !
Fiabiliser :
Sécuriser :
Gagner du temps :
« 41% des grandes entreprises et ETI surestiment leur maturité en cybersécurité ! »
NIS 2 : 150 000 structures vont devoir renforcer leur cybersécurité !
Pour en savoir plus :
(*) Ingénierie sociale. Définition de l’ANSSI : manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.
Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.
Sources : @Cybergibbons | lebigdata.fr
