Les auditeurs du Michigan qui ont mené une fausse attaque de "phishing" le 5, 000 employés de l'État choisis au hasard ont déclaré vendredi que près d'un tiers ont ouvert l'e-mail, un quart ont cliqué sur le lien et près d'un cinquième ont saisi leur identifiant et leur mot de passe.

L'opération secrète a été menée dans le cadre d'un audit qui a révélé des faiblesses dans le réseau informatique du gouvernement de l'État, y compris que tous les travailleurs ne sont pas tenus de participer à une formation de sensibilisation à la cybersécurité. Les schémas d'hameçonnage, dans lesquels les pirates tentent de tromper les destinataires des e-mails en se faisant passer pour des entités légitimes, peuvent entraîner une usurpation d'identité et d'autres problèmes.

Le phishing était la façon dont les joueurs liés à la Russie ont volé les e-mails du président de la campagne présidentielle d'Hillary Clinton, John Podesta.

Le bureau du vérificateur général du Michigan a fait 14 constatations lors de l'audit, dont cinq « matériels » – les plus graves. Ils vont d'une gestion inadéquate des pare-feu à des processus insuffisants pour confirmer si seuls les appareils autorisés sont connectés au réseau.

"Les appareils non autorisés peuvent ne pas répondre aux exigences de l'État, augmenter le risque de compromission ou d'infection du réseau, ", a déclaré l'audit.

Le Département de technologie, La direction et le budget étaient d'accord avec bon nombre des conclusions tout en étant partiellement d'accord avec certaines. Il a déclaré que l'e-mail de phishing des auditeurs avait été signalé à plusieurs reprises dans une boîte aux lettres "conseils de sécurité" et qu'il existe d'autres contrôles qui peuvent limiter l'efficacité de telles attaques.

L'agence a ajouté qu'elle officialisait une norme qui adopte les meilleures pratiques de l'industrie pour les configurations sécurisées, l'estimation sera faite en avril.

« Les données détenues au sein du réseau du gouvernement de l'État sont sûres et sécurisées grâce aux nombreuses couches de protection de notre écosystème de sécurité, " a déclaré le porte-parole Caleb Buhs, qui a déclaré que l'État avait déjà commencé à mettre en œuvre de nombreuses recommandations des auditeurs. "Cet audit nous fournit une bonne feuille de route pour prioriser les futurs investissements dans l'infrastructure technologique."

L'audit, qui couvrait une période de trois ans entre 2014 et 2017, a déclaré que l'État n'avait pas pleinement établi et mis en œuvre un processus efficace de gestion des mises à jour des systèmes d'exploitation des périphériques réseau. Dix vulnérabilités de gravité élevée ou moyenne ont été identifiées.

Globalement, Le vérificateur général Doug Ringler a estimé que les efforts de l'État pour concevoir, administrer et surveiller un réseau informatique sécurisé comme « modérément suffisant ».

Un critique démocrate de l'administration du gouverneur Rick Snyder, Le chef de la minorité sénatoriale Jim Ananich de Flint, a déclaré "il n'y a tout simplement aucune excuse pour laquelle les hauts responsables du Michigan n'ont pas réussi à protéger notre État des pirates informatiques".

© 2018 La Presse Associée. Tous les droits sont réservés.