Le quotidien du SI | Lybero https://www.lybero.net Vos données en sécurité Tue, 09 Jun 2020 09:13:20 +0000 fr-FR hourly 1 https://wordpress.org/?v=5.5.4 https://www.lybero.net/wp-content/uploads/2019/08/cropped-favicon-32x32.png Le quotidien du SI | Lybero https://www.lybero.net 32 32 Failles de sécurité et négligences ou les symptômes du SI malade https://www.lybero.net/failles-de-securite-et-negligences/ https://www.lybero.net/failles-de-securite-et-negligences/#respond Tue, 19 May 2020 08:15:05 +0000 https://www.lybero.net/?p=3246 S’il est bien deux éléments que chaque RSSI tente d’étouffer à grand coups de mises à jour et notes de services, ce sont bien les failles de sécurité et les négligences humaines qui ont mis à mal bien des Systèmes d’Information depuis que l’informatique existe. Vaudou ? Magie noire ? Incompatibilité homme / machine ? […]

L’article Failles de sécurité et négligences ou les symptômes du SI malade est apparu en premier sur Lybero.

]]>

S’il est bien deux éléments que chaque RSSI tente d’étouffer à grand coups de mises à jour et notes de services, ce sont bien les failles de sécurité et les négligences humaines qui ont mis à mal bien des Systèmes d’Information depuis que l’informatique existe. Vaudou ? Magie noire ? Incompatibilité homme / machine ? Problème de couche 8 ou d’ICC ? Tentons de comprendre.

Prenons notre premier danger : Martine ou la faille de San Andreas.

Martine sous ses airs de cinquantenaire toute de bonhomie vêtue, 25 ans de carrière, états de services impeccables, CSP+ de rêve, plus d’un publicitaire et d’un DRH rêverait de capter son attention.

Mais vous, RSSI ou technicien, vous connaissez sa vraie nature. Vous savez que derrière ces apparences se cache votre pire cauchemar. Une sirène qui, loin de faire chavirer le coeur des marins et leur navire, sait comme personne, sans rien faire paraître, sans même donner l’impression d’y porter une quelconque attention, mettre à genou toute ou partie de votre système.

Vous la connaissez, cette petite voix qui vous hérisse le poil, que vous entendez trop souvent et qui commence systématiquement par le même enchaînement de mots à peine audibles : « Dis, je pense que j’ai encore fait une bêtise ». Cette étrange sensation quand vous raccrochez votre téléphone que votre temps va être comme aspiré. Vous commencez d’ailleurs à croire qu’après l’étude des travaux des meilleurs scientifiques, Martine a réussi là où beaucoup ont échoué. Martine est capable de courber l’espace et le temps.

A peine avez-vous résolu son problème que vous vous apercevez que le temps a défilé, débobiné comme un chat tire sur le fil d’une pelote de laine. Votre famille est-elle encore vivante ? Le monde a-t-’il sombré ? Etes-vous le dernier être sur terre ? Le temps n’est plus qu’une donnée irrationnelle. Qu’elle est incroyable cette Martine, capable de faire les meilleurs gâteaux du monde pour les anniversaires et faire s’écrouler votre monde en deux clics de souris inconscients.

D’où Martine tire-t’elle son incommensurable pouvoir ? Souvent de son absence d’intérêt pour l’outil. Peut-on seulement lui en vouloir ?

Bien souvent, on utilise des outils assez complexes pour tenter de contrecarrer les plans ou errances des Martines, car oui, il existe bien des Martines dans de nombreuses sociétés.Je pense d’ailleurs personnellement que la présence de deux Martines dans un espace trop restreint déclencherait l’apparition d’un gigantesque trou noir qui aspirerait la Terre. J’espère ne j’amais avoir à vous confirmer ce point mais mon premier conseil : isolez les Martines.

Revenons-en à nos moutons en vous posant quelques questions :

  • Votre outil n’est-il pas un peu trop complexe pour une Martine ou pour d’autres ?
  • Doit-on vraiment avoir fait un doctorat en informatique pour utiliser une application interne ?
  • Ne peut-on pas se préserver de la destruction de la terre en utilisant un outil simple mais néanmoins sécurisé ?

Oui, parce que les Martines, outre leur pouvoir immense de destruction, ça échange aussi de la donnée. Et la donnée, c’est une grande partie de votre activité, vous la manipulez, vous l’exploitez, vous la vendez et vous la conservez.

Mais Martine, elle aime bien la partager sa donnée avec ses collègues, avec vos clients. Et avec son envie irrépressible de mettre le monde à feu et à sang, Martine elle utilise le mail. Lourd, fastidieux, dangereux et ingérable, un cocktail parfait. Martine elle aime bien le mail, c’est simple. En deux clics, elle peut envoyer des choses partout dans le monde. Elle entend une petite voix dans sa tête qui lui assure que son mail va arriver à son destinataire puisqu’elle a saisi l’adresse et personne ne viendra lire le contenu hormis le destinataire- puisqu’elle a saisi cette adresse. Mais Martine, ce n’est pas une experte en informatique, elle a juste envie de transmettre des éléments simplement.

Et vous de votre côté, vous avez envie que cette donnée soit en sécurité.

Une petite erreur d’inattention et hop, comme par magie, le contrat arrive chez un concurrent de votre client ou un de vos concurrents directs. Ou mieux, le mail de Martine arrive bien là où il devrait, mais entre temps, il a été lu, parce que les rois de l’interception, ce ne sont pas les joueurs du superball, ce sont les «  hackers » de tout poil. Après, comme Martine ne manque pas d’imagination, quand les pièces jointes sont trop lourdes pour être envoyées par mail, elle utilise sa botte secrète : le service d’hébergement de fichiers. On ne peut plus sécurisé : Il y a un mot de passe ! Ha ! Vous ne vous y attendiez pas à celle-ci hein ? Martine vous a damé le pion ! Vous lui interdisez des pièces trop lourdes ? Que nenni ! Son neveu lui a donné la solution il y a peu. Martine peut repartir pour la grande aventure de l’anéantissement. Une série de documents confidentiels sur le prochain projet important de l’entreprise ? Hop, un Google drive ! Le récapitulatif des comptes de l’année ? Vlan, un petit coup de Dropbox ! Et comme Martine est fière, elle en parle à ses collègues qui au fur et à mesure utilisent aussi ces outils. Pas de cohérence, pas de centralisation, pas de sécurité, Martine est sur la route toute tracée de son plan machiavélique pour le grand effondrement !

Vous n’êtes pas idiot, vous y avez pensé, même tardivement, alors vous avez déployé un système ultra sécurisé pour contrecarrer Martine. Vous avez mis en place une partie du système et pour vous épauler, vous avez fait appel à …

Kevin ou la négligence ingénue.

Kevin, il est né avec l’informatique, c’est ce qu’on appelle un millenial, une espèce d’un nouveau genre, peu compréhensible de ceux qu’il appelle amicalement, ou pas, les boomers. Il est en charge de la maintenance de vos applications. C’est lui qui a la lourde tâche de s’assurer que tous les systèmes sont à jour.

Les Kevins, ils aiment leur temps libre et les tâches peu rébarbatives; alors ils mettent souvent une ardeur incroyable à automatiser tout ce qu’il peuvent (vous aurez beau lui dire que les trois jours qu’il a passé ne seront compensés que par 20 ans d’utilisation de ce qu’il vient de réaliser, lui au contraire, ne réalise pas). Donc Kevin, il automatise, il n’a pas le temps de tester, il aime aller vite, alors il met à jour automatiquement et systématiquement. Et parfois, quand l’automatisation n’est pas aussi bien pensé que ce qu’il croyait, certaines mises à jour passent à la trappe. Et quand il essaye de vous expliquer pourquoi le système a pu être pénétré par un ransomware, il est aussi clair dans ses explications qu’une chanson d’Aya Nakamura. Il essaye pourtant de bien faire Kevin, mais il n’a pas encore votre expérience.

Pourquoi alors ne pas faciliter votre vie et celle de Kevin en vous épargnant cette fastidieuse étape de mises à jour ? En plus Kévin, c’est lui qui est aussi en charge des installations. L’ennui ? Kevin vient d’expérimenter sa signification en installant trois logiciels sur chaque machine de votre organisation. Il s’est récemment remis au papier pour, tel un prisonnier volontaire, il coche le nombre d’installations vérifiées avant de retrouver sa liberté tant chérie. Aller Kevin, plus que 200 vérifications et tu pourras enfin revoir ton écran 65 pouces pour te délecter des bretons à Mexico.

Avant cette extrémité, il lui reste pas mal de loupés à accomplir. Les utilisateurs appelleront (peut-être des Martines) par ce qu’ils ne voient pas l’icône en forme de tatou carré orange sur un fond jaune et qu’ils ne peuvent pas travailler. Et la pression Kevin, il ne gère pas encore bien. Alors il tente de calmer les foules, les faire patienter.

En attendant, Martine a repris ses habitudes, mais en mieux. Cette fois ci elle utilise We Transfer ! On ne l’empêche pas de travailler comme ça notre Martine !


Evidemment, chez Lybero, on a des Martines et des Kevins, des Martines homme, des Kevin femmes. Je suis moi-même un ancien Kevin repenti, même si mes collègues auraient sûrement le bon goût de vous préciser que je n’ai pas encore tout à fait terminé ma transition 😉

Et c’est bien pour ça que nous les connaissons si bien et que nous avons une affections toute particulière pour eux. Et nous savons que les Martine et les Kevins, ça aime la simplicité et l’efficacité. Et vous, vous aimez les applications qui améliorent votre sécurité.

SI vous souhaitez échanger simplement et efficacement des données chiffrées, sans installation sur les postes client, sans matériel supplémentaire, avec un simple navigateur web alors je vous conseille vivement de vous rendre sur le lien suivant, attention, ce que vous allez y découvrir va vous étonner !

L’article Failles de sécurité et négligences ou les symptômes du SI malade est apparu en premier sur Lybero.

]]>
https://www.lybero.net/failles-de-securite-et-negligences/feed/ 0