Pourquoi l’humain est il la faille de votre SI?
Je suis en ce moment en prestation dans une grande institution française pour mettre en place une solution de sécurité informatique.
Comme d’habitude les exigences du client en la matière sont assez élevées et il est plutôt pointu sur les différents tests à effectuer.
Pour lui la sécurité de son Système d’Information est quelque chose de primordial et il ne laisse rien au hasard.
Première pierre d’achoppement à son bel enthousiasme, les mots de passe des équipements critiques sont tous imprimés. Deuxième détail lors de la pause de midi tout le monde est parti nous laissant mon collègue et moi en présence d’ordinateurs non vérouillés et surtout de la fameuse liste de mots de passe.
Lors de la plupart de mes déplacements en clientèle, il m’a systématiquement été donné de voir des choses du même acabit voire pire.
La conclusion est la suivante: Il va de soi qu’une bonne sécurité informatique est absolument nécessaire. Mais 90% des risques pourraient être réduits si les choses les plus élémentaires étaient respectées.
Comme l’humain ne peut être éliminé de la boucle, il faut l’éduquer en conséquence. Et pour moi la plupart des sites spécialisés, ou des magazines traitant du sujet devraient et doivent évoquer ces choses. Car que faire avec le Firewall, le proxy ou la sonde IDS du siècle si son administrateur laisse à qui veut bien le voir les mots de passe des accès?
