Je suis en ce moment en prestation dans une grande institution française pour mettre en place une solution de sécurité informatique.
Comme d’habitude les exigences du client en la matière sont assez élevées et il est plutôt pointu sur les différents tests à effectuer.
Pour lui la sécurité de son Système d’Information est quelque chose de primordial et il ne laisse rien au hasard.
Première pierre d’achoppement à son bel enthousiasme, les mots de passe des équipements critiques sont tous imprimés. Deuxième détail lors de la pause de midi tout le monde est parti nous laissant mon collègue et moi en présence d’ordinateurs non vérouillés et surtout de la fameuse liste de mots de passe.
Lors de la plupart de mes déplacements en clientèle, il m’a systématiquement été donné de voir des choses du même acabit voire pire.
La conclusion est la suivante: Il va de soi qu’une bonne sécurité informatique est absolument nécessaire. Mais 90% des risques pourraient être réduits si les choses les plus élémentaires étaient respectées.
Comme l’humain ne peut être éliminé de la boucle, il faut l’éduquer en conséquence. Et pour moi la plupart des sites spécialisés, ou des magazines traitant du sujet devraient et doivent évoquer ces choses. Car que faire avec le Firewall, le proxy ou la sonde IDS du siècle si son administrateur laisse à qui veut bien le voir les mots de passe des accès?
Une petite réflexion :
« La sécurité informatique n’est ni affaire de politique, ni affaire de beaux discours.
C’est une affaire rationnelle, de logique, qui répond à des critères bien précis basés sur des notions purement mathématiques, en ce sens que la gestion d’un système d’information repose sur une logique uniquement booléenne.
Détournée de son sens strictement rationnel, puis transposée et adaptée pour des critères économiques, juridiques, ou sociaux, elle n’en devient pas moins qu’un excellent argument pour défendre le meilleur, comme le pire… »