Sûreté et contrôle d’accès : le sabotage informatique de la Canadian Pacific Railway

Welcomr vous propose une série d’études de cas réels pour sensibiliser les entreprises à l’importance de passer à un contrôle d’accès piloté et unifié, c’est-à-dire intégré dans les processus et dans les systèmes d’information de l’entreprise.

Représentant 20% des incidents de cybersécurité et 15% des fuites de données selon un rapport de Verizon datant de 2019, les attaques perpétrées depuis l'intérieur de l’entreprise, font partie des attaques les plus fréquentes. Face à une personne qui aurait une connaissance du fonctionnement de l’entreprise de l'intérieur, et notamment de son infrastructure informatique, on peut s’interroger sur la sécurité des systèmes d’informations et sur le rôle du contrôle d’accès dans cette problématique. L’affaire que nous allons vous présenter, provient de la jurisprudence américaine, et met en lumière les dangers que représentent une menace de l’intérieur pour le réseau et les données d’une entreprise.

‍

Un ennemi pourtant bien identifié au sein de l’entreprise

Christopher Victor Grupe, 46 ans, était employé par la Canadian Pacific Railway en tant qu’administrateur système au siège américain de la compagnie de chemin de fer canadienne à Minneapolis, dans le Minnesota. En décembre 2015, après une série de pannes relevant de la responsabilité de Grupe, le supérieur de ce dernier demanda son renvoie. Grupe, en apprenant la nouvelle, s’empressa de contacter son supérieur et finit par l’agresser verbalement. Cette dispute aboutit à une suspension de 12 jours du fauteur de troubles, prenant effet immédiatement. Néanmoins, Grupe décida de ne pas se plier à cette décision, et continua, à plusieurs reprises, à se présenter sur le site, en dépit de la suspension de ses droits d’accès au bâtiment et de ses identifiants de compte. À son retour, il apprit que la direction avait décidé de le renvoyer pour insubordination. Il fit le choix de démissionner avec l’accord de l’entreprise, et posa sa lettre de démission le 15 décembre de la même année. Dans cette lettre, il ne manqua pas de mentionner son devoir de restituer le matériel qui lui avait été prêté par l’entreprise dans le cadre de l’exercice de ses fonctions, entre autres un ordinateur portable et son badge d’accès.

Une gestion du contrôle d’accès manifestement insuffisante

Cependant, le 17 décembre 2015, avant de restituer le matériel prêté, il jugea opportun d’utiliser ses identifiants et son ordinateur pour accéder aux “core switches”, des commutateurs de haute-capacité servant de colonne vertébrale au réseau de l’entreprise. Une fois connecté, il supprima plusieurs comptes administrateurs (parmis lesquels un compte qu’il avait lui-même créé en secret) et changea les mots de passe de plusieurs autres comptes, bloquant ainsi l’accès au réseau.

Des conséquences lourdes pour l’entreprise

Les conséquences se firent ressentir quelques jours plus tard, le 5 janvier 2016. Alors que les équipes de la compagnie étaient occupées à résoudre des problèmes de réseau, des administrateurs système se rendirent compte qu’ils ne pouvaient plus accéder aux commutateurs. Ceci eu pour résultat, ironie du sort, d’entraîner une série de pannes sur plusieurs parties du réseau. Ce n’est qu’après avoir restauré les switches dans leur état d’usine, que la compagnie put reprendre contrôle de son propre réseau le 7 janvier 2018. Une enquête, impliquant notamment un prestataire de cybersécurité et le FBI, détermina à partir de cette faille, que c’était bien Grupe qui était à l’origine de ce dysfonctionnement. Celui-ci fut finalement arrêté et écopa d’ 1 an et 1 jour de prison pour “dommage intentionnel ou causés par des actes de malveillance sur un ordinateur protégé”.

Notre analyse au-delà des faits

‍Dans cette affaire, la faille principale est sans conteste l'inefficacité de la suspension des droits d’accès au bâtiment du fautif. Christopher Grupe a pu aisément se présenter sur le site à plusieurs reprises malgré la suspension théorique de ses droits d’accès physique. En pratique, ces derniers sont restés activés, ce qui démontre un désalignement entre les processus humains de l’entreprise et ses systèmes d’information. Par ailleurs cette suspension n’a pas non plus été maintenue au moment de son bref retour au sein de la compagnie alors même que son renvoi imminent avait été établi et que le caractère violent et destructeur de l’individu était connu de la direction. Cette affaire souligne ainsi l’importance, au sein d’une entreprise, d’une politique efficace de gestion des droits d’accès physiques et logiques et de son association avec les ressources humaines employées.

Et si l’entreprise avait choisi Welcomr comme solution de gestion du contrôle d’accès ?

Avec Welcomr, la modification ou révocation des droits d’accès aurait pu se faire très aisément grâce au Security Center, qui permet un pilotage de la sécurité simple et accessible aussi bien depuis ordinateur, que sur smartphone ou tablette. A titre d’exemple, Welcomr aurait notamment permis de limiter l’accès de Grupe et de ne le restreindre qu’à certaines zones pour une période délimitée. Ainsi ce dernier n’aurait pas eu accès aux zones dites non essentielles et aurait restitué le matériel aux heures autorisées.

Si ses droits d’accès permanents avaient été révoqués, au moment de son renvoi effectif, il aurait pu être simplement enregistré comme visiteur, son arrivée aurait également été signalée automatiquement par le Security Center aux personnels des moyens généraux, dans le cadre de la restitution du matériel.

De plus, grâce à son API, Welcomr aurait pu être associée à l’annuaire de l’entreprise afin de gérer les comptes réseaux et les droits associés, en parallèle des droits d’accès. Dans le cas présent, après la modification de ses droits d’accès, Grupe n’aurait pas pu se connecter aux core switches puisque ses droits d’accès au bâtiment auraient été révoqués avant même qu’il n’ait rendu son badge d’accès - ce qui aurait tout bonnement empêcher ce dernier d’opérer de façon malveillante, à son arrivée sur les lieux.

‍
Vous souhaitez en savoir plus sur toutes les fonctionnalités permettant de gérer vos droits d’accès physiques et logiques en toute sécurité ? Rendez-vous sur www.welcomr.fr. Vous pouvez également nous contacter à tout moment à l’adresse suivante : contact@welcomr.com. Notre équipe s’engage à vous répondre dans les plus brefs délais.