Une attaque informatique a ciblé l’ONU en avril 2021

Bloomberg a révélé le 9 septembre dernier que le système d’information de l’ONU a été victime d’une attaque informatique au mois d’avril 2021. Les auteurs de cette opération n’ont pas été identifiés, mais ils auraient été présents sur le réseau au moins jusqu’au 7 août. L’intrusion aurait été permise par une faille sur le logiciel Umoja.

Succession d’attaques informatiques ciblant les Nations Unies

Les cyberattaques se multiplient, ciblant toutes sortes d’organisations privées et publiques. Même les Nations Unies en ont fait les frais. Pour s’introduire dans le réseau, les hackers se sont procuré sur le darkweb l’identité et le mot de passe dérobés à l’un de ses employés pour l’outil de gestion de projet Umoja.

L’ONU a confirmée l’annonce du site d’information par la voix du porte-parole de son Secrétaire général. Stéphane Dujarric a ainsi déclaré à la presse que « ce n’est pas le premier piratage informatique auquel l’organisation internationale doit faire face. Au cours de l’été 2019, les bureaux de Genève et de Vienne avaient été visés, affectant différentes entités sensibles telles que :

• l’Office des Nations Unies contre la drogue et le crime,
• l’Organisation mondiale de la santé,
• l’Agence internationale de l’énergie atomique,
• le Haut-Commissariat des Nations Unies aux droits de l’homme,
• l’Organisation mondiale du commerce,
• ou encore le Conseil des droits de l’homme des Nations Unies ».

Celui du printemps 2021 aurait en effet été suivi d’autres intrusions heureusement « détectées et contrées ». L’intervention de la société Resecurity, spécialiste de la sécurité informatique, a permis d’identifier la brèche, restée ouverte jusqu’au 7 août. Elle soutient par ailleurs que des données ont été compromises, ce que l’ONU dément catégoriquement. Pourtant, d’autres experts affirment avoir constaté plusieurs fois des ventes d’identifiants permettant de se connecter au système Umoja utilisé par l’organisation intergouvernementale.

Faible sécurité des logiciels qui n’utilisent pas l’authentification multifactorielle

Cet événement met en lumière le risque lié aux programmes qui ne recourent pas à l’authentification à double facteur, qui impose à l’utilisateur de s’identifier au moyen de deux moyens pour accéder à la ressource. Pour toutes les entités qui stockent ou manipulent des données sensibles, ce mécanisme est aujourd’hui incontournable.

Afin d’évaluer le degré de fiabilité de leur infrastructure IT et déployer les protections qui s’imposent, un nombre croissant d’entreprises fait appel à des intervenants externes. Elles peuvent ainsi s’offrir des compétences pointues sans recruter un salarié à plein temps. Elles évitent ainsi :

• un accroissement sensible de leur masse salariale et autres charges fixes,
• sans compter les contraintes administratives,
• et cela sans sacrifier la qualité des prestations.

Pour ces consultants en informatique, le portage salarial informatique représente une solution avantageuse pour exercer leur activité en toute sécurité, mais cette fois en matière de couverture sociale. En effet, le contrat de travail à durée déterminée ou indéterminée signé avec la société de portage permet à ces travailleurs en freelance de bénéficier :

• de la Sécu,
• de la mutuelle collective,
• de la cotisation retraite,
• de l’assurance chômage.

En outre, de par leur statut d’indépendants, ces professionnels conservent toute leur autonomie sur le plan commercial (choix des clients, tarifs, modalités d’accomplissement de la mission…) et en matière d’organisation personnelle.