+33 1 84 79 38 30   |   contact@idecsi.com

  • Presse

Press coverage

Les secrets du Comex se cachent dans les boîtes e-mails des dirigeants. Au Groupe Galeries Lafayette, elles sont protégées en permanence pour empêcher les connexions anormales.

Les Echos Business - Interview réalisée par Florian Dèbes – 2015

photo p houze
Philippe HOUZÉ, Président du Directoire du groupe Galeries Lafayette. Son entreprise a décidé de placer sous surveillance les connexions numériques de ses plus hauts dirigeants.
Photo Jean-Paul Guilloteau / L'Express - RÉA

Dirigeants, êtes-vous sûrs que vous, et éventuellement votre assistante, êtes les seuls à lire vos e-mails, les seuls à consulter votre agenda, votre liste de contacts et vos documents sensibles, attachés en pièce jointe  ?

Grâce à une start-up récompensée l'an dernier par le Prix de l'innovation lors des Assises de la sécurité informatique, les top managers du groupe Galeries Lafayette ne se la posent plus. Florence Leloup, le directeur de l'audit de l'enseigne de grands magasins, travaille avec IDECSI pour protéger ses patrons. Elle sait bien que l'usurpation d'identité commence parfois par un simple mail pour terminer en fraude au président. Et l'application mail a beau être la plus utilisée en entreprise, elle est souvent moins bien sécurisée que les logiciels de production ou les espaces de stockage de données.

Le travail avec la start-up a commencé début 2014. D'abord par un audit des droits d'accès aux messageries de 50 cadres haut placés, en collaboration avec le responsable de la sécurité informatique. « Nous nous sommes alors aperçus que certaines règles de délégation n'étaient pas à jour », se souvient Florence Leloup. D'anciennes assistantes qui avaient évolué dans l'entreprise avaient toujours accès aux mails de leurs ex-supérieurs. « Notre système d'audit révèle aussi d'autres prises de risque comme quand l'ancien smartphone d'un patron est toujours synchronisé à sa messagerie, alors qu'il l'a peut-être perdu ou qu'il est rangé on ne sait où... », note Daniel Rezlan, le Président d'IDECSI. Après détection et correction de ces faiblesses, le groupe Galeries Lafayette partait sur des bases saines. Ne restait plus qu'à s'assurer qu'elles le restent. C'est le capital informationnel de l'entreprise qu'il s'agit de sauvegarder.

Analyser des millions de « logs »

Un dirigeant peut, comme les autres collaborateurs, être victime d'un vol de mot de passe parce qu'il le laisse en évidence sur un Post-it ou par phishing. Sur un modèle d'abonnement en fonction du nombre de comptes e-mail à traiter, IDECSI surveille en permanence le système de messagerie des Galeries Lafayette. A la recherche de fuites sur les boîtes de réception des dix top managers les plus exposés aux indiscrétions de tiers. Pour des raisons de sécurité, le groupe ne précise pas, volontairement, de qui il s'agit.

Galeries Lafayette a établi sa grille de comportements informatiques suspects. Par exemple, les voyants sont au rouge si l'identifiant (log) d'un membre du Comex se connecte au webmail depuis Paris à 12 heures puis depuis Shangai quelques minutes plus tard. Ou s'il se connecte depuis un ordinateur ou smartphone qui n'est pas habituel. C'est le signe qu'une autre personne cherche à lire les secrets de l'entreprise. « Nous analysons des millions de logs pour repérer tout ce qui sort de la normale », explique Daniel Rezlan. Point important, IDECSI et ses équipes n'ont jamais accès au contenu des messages. Elles ne s'intéressent qu'aux clics sur la boîte mail. « Jusqu'à présent, nous n'avons pas constaté de vraies fraudes », assure Florence Leloup.

Au moindre doute, vérifier auprès des dirigeants

En interne, le groupe a mis en place un plan d'astreinte afin qu'un collaborateur de l'audit ou de la sécurité informatique réagisse au moindre doute. Il s'agit de contacter les dirigeants (via une autre adresse e-mail, un SMS ou une application) pour leur demander de confirmer ou d'infirmer une action suspecte repérée sur leurs comptes de messagerie. Tout en dérangeant le moins possible ces professionnels occupés. En cas d'urgence, le directeur des systèmes d'information peut couper la boîte mail en quelques minutes.

Côté administration informatique, IDECSI promet de ne pas interférer avec le système de messagerie : en cas de panne de la solution, les mails des collaborateurs doivent continuer à fonctionner. L'outil se veut souple, installé en « plug-and-play ». Les dirigeants de la start-up assurent qu'il est facile de modifier la liste des adresses mail dont il faut surveiller les accès. Un bon point, le jour où un cadre se trouvera à son tour en position sensible, en première ligne sur un contrat par exemple.

À noter :
Après l'attaque informatique qui a touché Sony Pictures en décembre 2014, les mails des dirigeants ont été publiés sur Internet. Contenu : des échanges relatifs aux rémunérations et des commentaires racistes contre Barack Obama.

View source

Download article


Additional coverage...

Global stories

  • Hack of Amy Pascal Emails at Sony Pictures Stuns Industry

    The world got an unintended reveal in the form of thousands of Ms. Pascal’s emails, released as part of a hacking attack against the Sony Corp. unit by an anonymous group calling itself Guardians of Peace. As corporate anthropology, the trove is a once-in-a-lifetime find. And its contents might soothe senior executives in less-sexy businesses. Like the rest of us, Ms. Pascal faces plenty of political struggles, boring meetings and email threads that never seem to end.

    The Wall street journal – Nov. 2014

  • Angelina Jolie called 'minimally talented spoiled brat' in hacked Sony emails

    Hackers With Apparent Investment Banking Background Target Biotech. In each case, the links or attachments redirected their victim to a fake email login page, designed to steal the victim’s credentials, so that the attacker could log into their email and read the contents…They simply read a person’s emails and set rules for the infiltrated inboxes to automatically delete any email that contains words such as “hacked”, “phished” or “malware”, to increase the time before their victims learn their accounts have been compromised…the senior roles they target have enough juicy information in their inbox.

    The Guardian - Dec 2014