235 membres de Theodo sur Github n'ont pas l'authentification à deux facteurs activée
Applications down, piratées ou fonctionnalités non voulues. Client mécontent, pas de rachat. Risques légaux.[1]
Un non-Theodoer cherche à se connecter à Github sur le compte d'un Theodoer -> il n'y arrive pas
- Le pirate possède l'ordinateur d'un Theodoer, les données ne sont pas chiffrées
- Le pirate est un Theodoer
- Le Theodoer n'a pas mis en place l'authentification à deux facteurs
- Github a une faille de sécurité
- Le projet ou la plate-forme de prod a une faille de sécurité
- Le projet est public sur GitHub
- Le pirate a été habilité par erreur sur le projet
Imposer à tous les membres de l'organisation Theodo sur Github l'authentification à deux facteurs :
- Voir combien de Theodoers ne l'ont pas dejà fait ✅
- Communiquer aux archis (owners sur Github) et leur demander d'activer la 2FA ✅
- Rendre standard la 2FA à tout nouvel arrivant et à tout nouvel archi ✅
- Prévenir et sensibiliser les Theodoers et leur expliquer la procédure (2 min)
Le 1er Mars, 100% des Theodoers ont l'authentification à deux facteurs sur Github.
Même si un piratage ciblé n'est jamais arrivé à Theodo, la probabilité va fortement augmenter proportionnellement au nombre de Theodoers (plus de possibilités pour un pirate) et de projets (plus d'incentive). A fortiori si nous obtenons des projets critiques dans des grosses entreprises comme la SG.
En 2018, la CNIL sera en mesure d'imposer une amende de 4% du CA à une entreprise dont les données clients auraient fuité. A la SG, ces 4% sont 1 Md€. Il est plus que probable qu'une telle fuite coûterait à Theodo, si on en est responsables, au moins sa collaboration avec la SG.
On peut y ajouter, dans un registre moins grave mais plus probable, des piratages non ciblés qui dégradent quand même l'image de Theodo (exemple analogue avec GMail: Michael Thompson qui envoie du spam à ses leads car pas de 2FA) ou des clients qui refuseraient de travailler avec nous si on n'a pas de stratégie de sécurité à leur présenter. La perte d'un client coûte a minima 60 K€ de CA (projet de 6 semaines).
La 2FA coûte 30 secondes par mois par dev, ou 30 secondes par jour si vous vous déconnectez systématiquement de Github le soir. Si 10% des devs sont dans ce dernier cas, la 2FA coûte 57 €/mois soit 684 €/an à Theodo (sur une moyenne approximative de salaire brut total à 50 K€).
- Activer la 2FA coûte 684 € / an à Theodo.
- Perdre un petit projet coûte ~ 60K€, un gros, 300K€, se prendre une amende de la CNIL ou un procès peut dépasser 1 M€.
- La probabilité des événements ci-dessous, faible pour le moment, va augmenter avec le carré du nombre de Theodoers.
-> Si on considère que perdre un petit projet est probable dans les huit prochaines années, alors la 2FA fait gagner 10 fois plus d'argent qu'elle ne coûte.
-> Il faut mettre la 2FA :)