Agence de sécurité nationale : un sous-traitant arrêté pour vol de données de recherche
Le ministère de la Sécurité d'État de Chine a arrêté un technicien de maintenance informatique sous-traitant, soupçonné d'avoir téléchargé et fourni des données de recherche essentielles à des agences de renseignement étrangères. L'incident met en lumière des risques de sécurité majeurs liés aux prestataires tiers.

Le ministère de la Sécurité d'État (MSS) de Chine a annoncé l'arrestation d'un technicien de maintenance informatique sous-traitant, accusé d'avoir téléchargé et transmis des données de recherche confidentielles à des services de renseignement étrangers. Cette affaire met en évidence les préoccupations croissantes en matière de sécurité concernant l'externalisation des opérations informatiques, alors que de plus en plus d'organisations s'appuient sur des prestataires tiers pour la maintenance des systèmes, l'agrégation de données et le support des plateformes.
Le MSS a averti qu'un manque de surveillance rigoureuse a conduit certaines entités et certains individus à devenir négligents, confiant des opérations commerciales critiques, des données et des autorisations à des prestataires de services sans garanties adéquates. Cette approche, qualifiée de modèle "hands-off", peut créer des risques de sécurité systémiques. Ces dernières années, les agences de sécurité ont signalé de nombreux cas de fuites et de pertes de données résultant de services de données externalisés, soulignant une tendance à privilégier le progrès commercial et l'efficacité des services au détriment de contrôles de sécurité robustes.
Un cas spécifique concernait une institution de recherche qui avait externalisé les opérations de sa base de données expérimentale à une entreprise tierce. L'institution n'avait pas mis en œuvre de mesures de sécurité essentielles telles que des vérifications d'antécédents pour le personnel sur site et la journalisation des accès aux données. Un technicien de maintenance sous-traitant, sollicité par des services de renseignement étrangers, a exploité les privilèges d'accès à distance pour télécharger d'importantes quantités de données de recherche et les exfiltrer à l'étranger. Le technicien a depuis été appréhendé par les autorités de sécurité nationale, et les personnes responsables au sein de l'institution de recherche font face à des responsabilités.
D'autres incidents rapportés incluent une entreprise fournissant des services de données à un hôpital qui a secrètement collecté plus de 280 000 dossiers de patients pour sa propre base de données. Un autre cas a vu le site web d'une institution publique, externalisé pour la construction et la maintenance, subir une cyberattaque et l'insertion de contenu illégal en raison de l'échec du prestataire à mettre en œuvre des mesures de cybersécurité de base et à corriger les vulnérabilités connues.
Le MSS a identifié que les risques associés à "l'externalisation des données" découlent couramment d'une évaluation inadéquate du personnel, d'un mauvais contrôle d'accès et d'un manque de gestion en boucle fermée. Les lois chinoises, y compris la loi sur la sécurité des données, imposent des clauses contractuelles claires concernant les finalités, la durée, les méthodes, la portée et les mesures de protection du traitement des données lors de l'engagement de prestataires de services tiers. Le ministère a souligné que l'externalisation n'exonère pas l'entité qui externalise de sa responsabilité principale en matière de sécurité des données.