 |
|
|
|
| |
L'utilisateur, meilleur ami du marché de la sécuritéSi les utilisateurs évitaient d'ouvrir des pièces jointes intitulées "nice picture.exe", il n'est pas sûr que le marché des anti-virus atteindrait plus de 3 milliards de dollars par an. Mais l'utilisateur est comme ça, il aime avoir le contrôle : un modem sauvage derrière son bureau, un logiciel de P2P en tâche de fond, des petits logiciels de discussion instantanée, ses emails personnels sur hotmail, un autre logiciel pour regarder ce qui se passe sur son ordinateur de maison...
D’autant que le pire des utilisateurs se cache souvent à la direction générale. Combien de responsables ont imposé la mise en place du WiFi sur leurs réseaux, sans aucune étude d'impacts préalable ? Combien de responsables gardent leurs données sur leur ordinateur portable, alors que 10% de ces postes sont volés chaque année?La mise en place d'une innovation technologique, lorsqu'elle est initiée par la direction informatique, prend de plus en plus en compte, en amont, les mesures de sécurisation nécessaires. C'est le cas des innovations intervenant au niveau systémique du réseau.Cependant, lorsqu'il s'agit d'une innovation apportant un profit fonctionnel direct à l'utilisateur, l'envie inhibe la suspicion et les portes s'ouvrent. Le pare-feu, l'anti-virus, la PKI ou la sauvegarde de données des postes sont toutes des technologies mises en place en réponse aux lacunes de sécurité d'innovations fonctionnelles, que ce soient l'interconnexion publique, les emails ou les postes nomades...
Tous les jours, nos équipes testent la faiblesse du maillon humain des organisations. Ces vulnérabilités peuvent venir d’un problème de formation des salariés, lorsque nous faisons appel à des procédures d’ingénierie sociale. Mais ces failles peuvent également être liées aux procédures décisionnelles de l’entreprise, notamment lorsque nous découvrons, lors d’une mission d’urgence, des dizaines de connexions Internet ADSL parallèles à partir de postes de responsables.L’accroissement de la productivité de l’entreprise, partiellement induite par l’introduction de nouvelles technologies pour l’utilisateur-producteur, est un facteur essentiel de développement des vendeurs de sécurité, parce que ces technologies fragilisent la protection globale du système d’information.Pouvons nous réduire les risques induits par cette course technologique ?Bien sûr. D’abord en restreignant de manière intelligente les droits des utilisateurs sur leurs postes informatiques, tout en privilégiant le support bureautique. Puis en formant les utilisateurs aux risques d’incidents liés à l’utilisation de l’outil informatique puisque, selon une étude parue le mois dernier, 20% des crashs informatiques sont la faute directe d’un salarié. Enfin, en imposant la validation du RSSI pour tous les projets de déploiement. Sur ce dernier point, nos missions nous démontrent que, malheureusement, ce n’est pas encore le cas dans toutes les entreprises.
|
|
|
