Un ancien salarié de Twitter dénonce de mauvaises pratiques informatiques

Le réseau social Twitter est visé par des accusations sérieuses concernant ses manquements dans le domaine informatique. Peiter Zatko, ancien expert en sécurité au sein de la société et licencié en début d’année, dénonce en effet de mauvaises pratiques IT dans un rapport récemment dévoilé par CNN et le Washington Post.

Défaut de traçabilité des accès et actions dans l’environnement de production

Selon le rapport établi par l’ancien collaborateur de Twitter, « les actions des employés de la DSI sur la plateforme logicielle en production ne sont pas maîtrisées ». Des milliers de salariés, notamment les ingénieurs, auraient ainsi accès à tout ou partie des fonctionnalités critiques, rendant impossible la protection de cet environnement crucial.

Le lanceur d’alerte souligne par ailleurs que « les actions de ces personnes ne sont pas traçables », dans la mesure où les entrées dans l’environnement, et les tâches qui y sont effectuées ne sont pas enregistrées. Dans l’éventualité d’une intrusion, d’un vol de données ou d’un autre problème, il serait donc très complexe d’en identifier l’auteur.

Peiter Zatko affirme également que « l’emplacement et la criticité des données n’étaient pas clairement établis ». Encore plus grave, Twitter manquerait de visibilité et de contrôle sur les ordinateurs et autres appareils de ses salariés. D’après un rapport interne, « environ 40 % des terminaux ne seraient pas conformes aux normes de sécurité de base ».

Mises à jour de sécurité insuffisantes et absence de plan de récupération

En outre, le lanceur d’alerte soulève des « problèmes en matière de continuité d’activité et de protection contre les attaques informatiques ». Il affirme en effet que « quelque 250 000 serveurs, soit la moitié du parc, tournent avec des logiciels obsolètes ». Or, sans les patchs de sécurité fournis par les fournisseurs, certaines fonctionnalités essentielles, comme le cryptage des données stockées, ne sont pas prises en charge.

Le redémarrage et la continuité de l’activité en cas de panne ou de sinistre dans le datacenter seraient également compromis, faute de redondances et de procédures de récupération adaptées. Enfin, il semble que la suppression des informations personnelles des utilisateurs après la clôture de leur compte ne soit pas totalement fiable, notamment parce que la société ne retrouverait plus lesdites données.

En quête de sens dans leur travail, de nombreux salariés ne se reconnaissent plus dans les pratiques de leur entreprise, et recherchent une activité plus en phase avec leurs aspirations et leurs valeurs. La majorité de ceux qui choisissent de se lancer en tant qu’indépendants en France privilégient ainsi le statut d’autoentrepreneur.

Ce régime présente en effet de multiples avantages :

• des formalités de création allégées,
• des règles sociales, comptables et fiscales simplifiées et favorables,
• une protection renforcée du patrimoine personnel depuis la mise en place du statut unique de l’entrepreneur individuel.

Dans le domaine de l’IT, ces experts en freelance proposent leurs services aux entreprises en matière de cybersécurité, de conformité avec le RGPD, de déploiement d’une solution fiable de stockage de leurs données, etc.