Une partie de la recherche impliquait le recours à des pirates informatiques éthiques. Ce sont des professionnels de l’informatique qui tentent de s’introduire dans les systèmes SWO. Diverses vulnérabilités ont été découvertes. Le SWO en a été informé et a pris des mesures pour résoudre les problèmes.
Des emails de (test) phishing ont également été envoyés aux collaborateurs. Avec de tels e-mails, les criminels tentent de voler des données ou de l’argent.
Le test avec les emails a été réalisé en juin. Environ treize pour cent des employés ont cliqué sur le faux message et près de la moitié d’entre eux ont saisi leurs informations personnelles. Selon la Cour des comptes, De Wolden et Hoogeveen obtiennent des résultats inférieurs à ceux des autres communes, mais le résultat est flatteur, estiment les chercheurs.
Deux semaines plus tôt, SWO avait reçu un véritable e-mail de phishing. L’organisation y a prêté attention, ce qui aurait dû accroître la vigilance des salariés face au danger. « De tels mécanismes de défense fonctionnent, mais dans cette optique, 12,9 % des cliqueurs lors du test avec l’e-mail de phishing peuvent encore être interprétés comme un nombre considérable », indique le rapport.
« Nous pouvons également conclure que la sensibilisation aux risques parmi les employés a augmenté grâce au « vrai » e-mail de phishing de début juin. » Le même test a été effectué sur les membres du conseil. « respectivement dix-neuf (De Wolden) et dix-huit (Hoogeveen) pour cent ont cliqué sur le lien. »
L’étude a également porté sur l’utilisation des mots de passe au sein de l’organisation. Sur les 1 446 comptes d’utilisateurs, 209 ont été trouvés avec des mots de passe datant d’un an ou plus, 108 comptes dont les mots de passe n’expirent jamais et 194 mots de passe utilisés plus souvent. La Cour des comptes estime qu’il s’agit d’une politique de mot de passe incohérente.
Nous avons également vérifié si les collaborateurs connaissaient les règles en matière de sécurité des informations. Il existe souvent des protocoles qu’ils doivent respecter. La Cour des comptes a examiné dans quelle mesure le personnel en était conscient et si les procédures étaient mises en pratique. Vous pouvez noter sur une échelle de un à cinq.
Avec un cinq, la situation est bien gérée, avec un trois la situation est raisonnablement sous contrôle et avec un un il y a beaucoup de travail à faire. Le SWO obtient un 1,5. « Cela signifie qu’il existe des procédures, mais incomplètes. Et qu’elles sont exécutées de manière incohérente et ponctuelle », indique le rapport.
La Cour des comptes déclare que SWO a déjà pris des mesures dans le passé pour améliorer la sécurité des informations. Mais il en faut davantage. Par exemple, il faudra plus d’argent pour lutter contre les problèmes et du personnel supplémentaire. Selon les chercheurs, il n’y a pas assez d’employés chargés de la sécurité des informations dans l’organisation.
La sensibilisation du personnel à la sécurité pourrait être améliorée. « Et assurez-vous que la direction en comprend la nécessité et la communique. » En outre, la politique en matière de traitement de l’information doit être plus complète, estiment les chercheurs. Cela doit être complété par des protocoles et des directives appropriés.
Le conseil d’administration du SWO indique qu’il travaille sur un programme de sensibilisation du personnel à la sécurité de l’information.
« Le défi ici, ce sont les gens en tant que facteur de risque et de succès : l’attitude et le comportement ne sont pas faciles à influencer, mais ce sont les gens qui peuvent réellement mettre en œuvre les améliorations et doivent être vigilants, grâce auxquels nous rendons les circonstances plus gérables. » Selon le conseil d’administration, cela est difficile en raison du roulement élevé du personnel.
Le rapport des comités d’audit est appuyé. Le SWO souhaite d’abord mettre de l’ordre dans les bases dans un avenir proche. « La maturité de l’organisation est encore faible, mais diverses actions sont prises pour la porter au niveau souhaité. » Par exemple, des conseillers et des maires souhaitent devenir ambassadeurs pour accroître la notoriété.
Les conseils communaux de De Wolden et Hoogeveen examineront les recommandations de la Cour des comptes le 21 décembre.