6.3 Cas “MyBizDev et les risques informatiques”

6.3.1 QUESTIONS A TRAITER

Vous poursuivez votre échange avec Maxime Pari, qui vous remet également le contrat de maintenance souscrit avec le prestataire. ANNEXES 1 à 6.

Question 1 – Analysez les risques qui se sont déjà concrétisés, notamment en mentionnant les enjeux de sécurité impactés. Présentez-les succinctement, à l’aide d’un tableau avec 3 colonnes : Risques, Exemples, Enjeux de sécurité.

Question 2 – Repérez les risques existants dans le contrat de maintenance actuel. Quelles préconisations pouvez-vous faire ?

Aline Matthieu, Bizdev Manager, constate un fonctionnement anormal de son ordinateur depuis qu’elle a ouvert une pièce jointe reçue par message électronique. Après un contact avec la hotline du prestataire en charge de la maintenance, un technicien s’est immédiatement déplacé et a constaté que l’entreprise a fait l’objet d’une attaque informatique. ANNEXES 7 à 9.

Question 3 – Analysez le risque qui s’est matérialisé en déterminant pourquoi l’accès aux données est impossible et en repérant l’erreur commise par Aline.

Question 4 – Déterminez et expliquez les failles de sécurité exploitées puis évaluez les impacts en repérant les enjeux de sécurité concernés.

Dès l’échange en ligne, le prestataire informatique a immédiatement demandé à Aline Matthieu de débrancher le câble réseau de son poste de travail, avant toute autre manipulation.

Question 5 – Pourquoi cette recommandation est-elle importante ?

En définitive, seul le poste d’Aline Matthieu a été touché, mais cette alerte a été suffisamment grave pour confier un audit de sécurité au prestataire. Annexes 10 et 11.

Question 6 – Les données d’Aline sont-elles définitivement perdues ?

Question 7 – Le prestataire propose une sauvegarde en ligne complémentaire à la sauvegarde existante. Est-ce vraiment utile ? Pourquoi ?

À ce jour, aucune charte d’utilisation des ressources informatiques n’est proposée chez MyBizDev.

Question 8 – Après avoir effectué des recherches complémentaires sur Internet, préparez une ébauche de charte informatique en indiquant les principaux points que celle-ci mentionnera.

6.3.2 ANNEXES A ETUDIER

ANNEXE 1 – Présentation de MyBizDev

Allez sur le site de l’entreprise et étudiez son activité : https://mybizdev.io/recruter-un-commercial-pour-ma-start-up

Témoignage d’un BizDev

ANNEXE 2 – Contexte du cas

Maxime et Pierre

Maxime Pari, fils de commerçant en franchise d’une grande enseigne Française, a gardé jusqu’à ce jour un goût prononcé pour les affaires. D’ailleurs, il a travaillé très jeune dans le magasin familial. Par la suite, passionné par le métier de commercial,il occupera cette fonction juste après l’obtention de son baccalauréat. Ainsi, son expérience s’enrichit des pratiques au sein de grands groupes tels que XEROX (prospection commerciale et sales B2B), MARS CHOCOLATS (account manager et customer success) ou COMPANEO (growth hacking et Key Account Manager). Dans la continuité de ces expériences, il créera sa première SARL à 25 ans, BILL (au sens de facture), qui sera spécialisée dans le courtage en énergie, en télécommunication et en assurances pour TPE et PME.

Mais, une idée s’impose progressivement à Maxime Pari, les start-up et les licornes ont besoin de commerciaux ayant un profil et des compétences très spécifiques.

Pierre Mousnier a démarré sa carrière dans l’édition en 2011 en lançant le label numérique 12-21 chez Editis, à un moment où le e-book balbutiait encore en France. Au bout de trois ans, le label était devenu l’un des acteurs majeurs du secteur. Convaincu qu’il a avait encore à apprendre, il vend son affaire part s’investir dans le milieu des start-up en Nouvelle-Zélande. Son idée était de créer en France la start-up Food and Augmented Reality (FAR), qu’il dirigera avec deux associés pendant prés de deux ans, avant de rejoindre MyBizDev.

Maxime et Pierre avaient pris conscience par leurs expériences individuelles de la problématique des start-up pour recruter des business developer. Et cette prise de conscience déboucha donc sur la création de MyBizDev, l’Agence des business developers, en novembre 2017. A ce jour, MyBizDev est toujours installée au sein de l’incubateur privé REDSTART et Maxime Pari est en permanence à l’écoute des start-upper, puisqu’il est également mentor de start-up incubées à HEC .

Vocation

Parce que les start-up ont besoin des meilleurs commerciaux pour grandir, MyBizDev sélectionne, forme et met à leur disposition des business developers expérimentés et passionnés par la vente. En effet, le recrutement traditionnel ne permet pas de garantir que les capacités d’un candidat pour un emploi dans le Business Development – que ce soit en micro-entrepreneuriat, TNS ou en salariat – lui permettront d’être opérationnel au sein d’un start-up.

ANNEXE 3 – Entretien avec Maxime PARI

Vous : Pouvez-vous me donner quelques indications sur votre système informatique ?

Maxime PARI : Bien sûr ! Au moins dans les grandes lignes en tout cas. Je ne suis pas informaticien et notre structure est trop petite pour en embaucher un, donc je m’occupe de certains aspects en collaboration avec notre prestataire.

Nous avons une quinzaine d’ordinateurs reliés en réseau et deux serveurs qui centralisent plusieurs ressources. Nous avons également des ordinateurs portables qui sont utilisés par les Consultants lorsqu’ils se déplacent chez les clients. Ils peuvent se connecter à distance à notre système, ce qui permet de gagner beaucoup de temps car ils disposent d’informations en temps réel, telles que le fichier des Bizdev et leurs spécialisations. Ils peuvent, par exemple, réaliser les devis pour les projets de campagne ou prendre des commandes de prestations directement chez nos clients.

Vous : Et cela fait gagner vraiment beaucoup de temps ?

Maxime PARI : Oui, car une fois ces informations dans notre PGI, cela permet d’affecter immédiatement les équipes et les moyens nécessaires, et de communiquer très rapidement au client les dates prévisionnelles de mise à disposition d’un ou plusieurs Bizdev ou d’émettre les factures des prestations réalisées, par exemple.

ANNEXE 4 – Réseau informatique de MyBizDev

ANNEXE 5 – Suite de l’entretien avec Maxime PARI

Entretien avec Maxime PARI (suite)

Vous : Vous m’avez parlé d’un prestataire informatique. Comment sont réparties les tâches entre MyBizDev et lui ?

Maxime PARI : Il prend en charge toute la partie installation, maintenance et dépannage de nos matériels. Il intervient également sur les opérations complexes ou techniques pour lesquelles nous ne sommes pas en mesure d’intervenir. En ce qui me concerne, je gère les comptes des utilisateurs en créant les comptes ou en modifiant les habilitations. J’interviens également sur les paramétrages des applications métiers. Par exemple, c’est moi qui modifie certains éléments du PGI. Mais je ne touche pas à l’installation technique !

Vous : Toi ? Pardon, vous avez eu une formation sur la partie gestion des comptes ?

Maxime PARI : Bah oui ! C’est même une partie qui m’intéresse.

Vous : Et le prestataire, il vient régulièrement ?

Maxime PARI : Non, la plupart du temps, il intervient lorsque nous le sollicitons. Nous appelons la hotline lorsque nous avons un problème et, en fonction de celui-ci, nous sommes immédiatement dépannés par téléphone. Parfois, le prestataire prend le contrôle à distance du poste de travail lorsque l’intervention est plus complexe. Les seuls cas nécessitant un déplacement correspondent à des pannes matérielles, ou alors lorsqu’il s’agit d’installer un nouvel équipement.

Vous : Et ça arrive souvent ?

Maxime PARI : Non, c’est déjà arrivé à MyBizDev. Nous avons déjà fait face à une panne du disque dur sur l’un de nos anciens serveurs. Il a fallu en acheter un nouveau en urgence, réinstaller les logiciels et les paramétrer puis restaurer les données. Nous avons été privés d’informatique pendant trois jours ! Et nos BizDev ont du utiliser leur smartphone… Sinon, euh, tu me tutoyer , c’est l’usage ici !!!

ANNEXE 6 – Contrat de maintenance signé par MyBizDev

ARTICLE 1 – OBJET

Le Client commandite le Prestataire pour réaliser la maintenance de son parc informatique ci-après dénommé Contrat de maintenance informatique.

Les détails du présent Contrat de maintenance informatique sont les suivants :

  • déplacement sur site pour intervention sur le matériel concerné,
  • main-d’œuvre pour remise en état du matériel concerné,
  • télémaintenance (prise en main à distance) dans la mesure du possible.

Toute intervention complémentaire fera l’objet d’une facturation séparée.

ARTICLE 2 – PRIX

Pour la prestation de service fournie au titre du présent Contrat de maintenance informatique, le Client versera au Prestataire la somme de deux mille euros (2 000 €) HT mensuellement. Le Prestataire établira une facture mensuelle remise au Client par voie postale ou e-mail. […]

Toute prestation (ou intervention) non prévue au présent Contrat de maintenance informatique donnera lieu à une facturation séparée en sus, sur la base d’un devis accepté. […]

ARTICLE 3 – EXCLUSIONS

3.1 La responsabilité du Prestataire se limite à l’obligation de remise en état des matériels en panne (couvert par le présent Contrat de maintenance informatique). Elle inclut l’installation du système d’exploitation, l’installation des programmes applicatifs (gestion commerciale, comptabilité…), l’intégration des données (sauvegarde à la charge du client).

3.2 Sont exclues du présent Contrat de maintenance informatique et donneront lieu à une facturation séparée les interventions dues aux faits suivants :

  • non-respect des normes d’entretien par le Client,
  • matériel remplacé,
  • modification des spécifications des machines sans prévenir le Prestataire,
  • variation ou coupure électrique,
  • virus, logiciels malveillants ou intrusions,
  • réparation ou entretien réalisé par des personnes étrangères au Prestataire,
  • remplacement des pièces défectueuses sans accord du Prestataire,
  • remplacement des consommables (toners, cartouches, tambour…).
  • destructions résultants d’actes de terrorisme, de guerre, d’incendies ou de dévastations liées à des phénomènes naturels. […]

ARTICLE 5 – DÉLAI

Les interventions ont lieu au plus tard dans les délais suivants :

  • intervention H+4 en télémaintenance,  
  • intervention H+8 sur site,  
  • pas de limite sur le nombre d’interventions.

Les interventions s’effectuent du lundi au vendredi inclus, aux horaires du prestataire (9 h-12 h et 14 h-18 h). Les jours fériés sont exclus. […]

ANNEXE 7 – Fichiers d’Aline Matthieu, BizDev Manager

Aline Matthieu ne retrouve plus les fichiers qu’elle a enregistrés sur son poste de travail. Il s’agissait des profils, compétences et expériences des BizDev sélectionnés pour être envoyés à EuraSanté GIE, un gros client.

Au lieu des fichiers de traitement de texte, tableur et autres, il n’y a plus que des fichiers comportant l’extension « locky ».

Comme Locky des “Avengers“, ce virus cause de gros dégâts !

ANNEXE 8 – Bulletin d’alerte du CERT (extraits) présenté par le prestataire

Objet : campagne de messages électroniques non sollicités de type Locky
1 – Risque(s) Installation d’un logiciel malveillant de type Locky.
2 – Systèmes affectés Tous les systèmes d’exploitation Windows peuvent être victimes de ce logiciel malveillant.
3 – Résumé Depuis la mi-février 2016, le CERT-FR constate à l’échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky. Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés. Dans le cadre de cette campagne, et d’après les échantillons que le CERT-FR a observés, la diffusion de Locky s’effectue par l’intermédiaire d’un pourriel dans lequel se trouve une pièce jointe au format « .doc ». Ce document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du malware. L’exécution de ce dernier entraîne le chiffrement des données et les fichiers sont renommés avec l’extension « .locky ». […]
4 – Solution Mesures préventives Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes […]. Plus généralement, il convient de mettre à jour les postes utilisateurs […] dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle. Enfin, le CERT-FR recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu’elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l’entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production. www.cert.ssi.gouv.fr * CERT : Computer Emergency Response Team,centre d’alerte et de réaction aux attaques et incidents informatiques.

ANNEXE 9 – Quelques règles informatiques mises en œuvre

  • Chaque utilisateur dispose de ses propres identifiants et mots de passe personnels. Ceux-ci doivent rester strictement confidentiels.
  • Les droits (ou habilitations) sont paramétrés en fonction des attributions de chaque salarié. Ils ne doivent en aucun cas être contournés. En cas de nécessité, ils peuvent être modifiés après demande justifiée auprès de l’administrateur.
  • Les utilisateurs s’engagent à enregistrer leurs fichiers dans leur emplacement personnel sur le serveur de fichiers ou sur un des emplacements réseau partagé afin de bénéficier d’une sauvegarde automatisée. Tout fichier stocké ailleurs l’est sous la pleine responsabilité du salarié en cas de perte ou compromission.
  • Les données des serveurs sont sauvegardées tous les soirs sur le NAS (Network Attached Storage : serveur de stockage en réseau).

ANNEXE 10 – Extrait des conclusions de l’audit réalisé par le prestataire

1. Points positifs du système existant chez MyBizDev

  • Les utilisateurs font tous l’objet d’une authentification, la gestion des mots passe et leur renouvellement sont effectués correctement.
  • Le réseau est sécurisé grâce au pare-feu qui fait l’objet d’un paramétrage adéquat.
  • Les connexions depuis l’extérieur sont convenablement sécurisées grâce au VPN1.
  • Une politique de sauvegarde régulière est en place sur les serveurs et les données sont stockées sur un autre support (NAS2).

2. Préconisations et évolutions nécessaires chez MyBizDev

  • Suite aux entretiens réalisés, les utilisateurs doivent être davantage informés des risques informatiques auxquels vous êtes exposés. Une sensibilisation doit être envisagée.
  • Une gestion centralisée d’une suite de sécurité antivirale et antimalware est nécessaire. Ce rôle peut être ajouté au serveur existant sans difficulté. Il permettra de déployer en temps réel les mises à jour antivirales et d’effectuer une remontée régulière des informations et alertes.
  • Il est nécessaire d’améliorer la sauvegarde existante en disposant de sauvegarde hors site. Nous vous incitons à recourir à une solution de sauvegarde en ligne.
  • Les serveurs ne sont pas protégés. L’installation d’onduleurs est indispensable.

Schéma du système cible

1. Virtual Private Network, réseau privé virtuel.2. Network Attached Storage, boîtier de stockage en réseau.

ANNEXE 11 – PGI Idylis proposé en cloud computing

6.3 Cas “MyBizDev et les risques informatiques”