Intrapole
l Espace client l FAQ l RSS 2.O l
- Bienvenue sur le site de Intrapole, leader de la sécurité informatique en Afrique sub-sahérienne
VOUS  TES ICI : Accueil » Intrapole » Actualité »

La sécurité informatique : une simple question de ressources humaines

Daniel Ventre | 01net. | le 17/12/10 à 12h00

Les dossiers divulgués, les révélations et maintenant les cyberattaques dont sont victimes partisans et détracteurs de Wikileaks nous feraient presque oublier que ce projet ne saurait exister sans ses sources. Bradley Manning, jeune militaire américain de 23 ans travaillant dans les renseignements, est actuellement inculpé pour divulgation de centaines de milliers de documents qui ont été récemment publiés par Wikileaks. A en croire les versions qui nous sont proposées, le militaire, alors en mission en Irak, aurait agi par désœuvrement (traduire : payé à ne rien faire). Profitant des droits d’accès dont il disposait sur les réseaux sécurisés (mais pas trop, de toute évidence !), il aurait alors téléchargé des documents sensibles et les aurait copiés avant de les fournir à Wikileaks. Désœuvré, sans doute, mais plein de convictions : il voulait dénoncer les injustices, les scandales, faire éclater la vérité. Il se sentait investi d’une mission (oubliant, au passage, obligations de réserve, devoir de confidentialité, de secret).

Les Etats-Unis, un géant aux pieds d’argile

Vraie ou fausse, cette version nous rappelle l’histoire bien connue du jeune hacker qui tue le temps en piratant des sites sensibles du gouvernement et celle du salarié qui, au sein de l’entreprise, abuse des moyens dont il a l’usage (mais pas la propriété) pour s’en prendre aux intérêts de son employeur (on parle alors de menace intérieure). Les deux histoires conjuguées, c’est plausible, même si la situation décrite laisse perplexe. La victime est une grande puissance, la police de la planète, la garante de la paix mondiale, le symbole de la forteresse. On n’entend parler chez elle que de maîtrise de l’information, de dominance informationnelle. On y dépense des milliards de dollars pour déployer yeux et oreilles électroniques, systèmes de collecte, de traitement, de stockage, de protection des données. Mais il suffirait ainsi de quelques clics de souris pour que se fissure l’édifice.

Les entreprises encore plus vulnérables

Cette affaire doit encore servir de leçon. Car ce que le département de la Défense américain ne peut assurer, il est peu probable qu’une entreprise, quelle qu’elle soit, soit en mesure de prétendre le faire. Toutes ne sont certes pas des cibles d’attaque aussi privilégiées que la Défense américaine, mais, en contrepartie, elles ne disposent pas non plus des mêmes niveaux de sécurité. Rien d’étonnant, donc, à ce qu’en entreprise perte et vol de donnée sensibles soient monnaie courante partout dans le monde. Cela va de la perte accidentelle au vol bien organisé. Tout cela se passe même souvent sans que la victime se rende compte de quoi que ce soit. Pourtant, toutes les entreprises jureront que la sécurité de leurs données est assurée (rendues confiantes, parfois, par les promesses de leurs fournisseurs de solutions de sécurité).

Qui, que, quoi, quand, comment, pourquoi ?

Mettons-les alors au défi. Imaginons qu’un ordinateur de la société ait été volé. Qui, dans l’entreprise, serait capable de dire quelles données sensibles étaient stockées dans l’ordinateur ? Depuis combien de temps s’y trouvaient-elles ? A quelles données le voleur peut-il avoir accès ? Lesquelles étaient protégées ? Comment ? Pourquoi ? Selon quelles règles ?

Et plus généralement : quelles données se trouvent (très précisément) sur quelles machines (les copies multiples de bases de données nominatives sont monnaie courante) ? Qui a accès à quelles données ? Pourquoi ? Depuis quand ? Combien y a-t-il eu d’intrusions dans les bases de données sensibles ? Et pour les quelques intrusions connues, combien sont susceptibles de ne pas pouvoir être décelées ? Quelles sont les règles au sein de l’entreprise en matière de gestion des données sensibles ? La charte de l’entreprise ou le règlement intérieur y font-ils allusion ? Les règles internes, voire la législation, sont-elles connues, appliquées, respectées au sein de l’entreprise (en France, il y a des lois qui s’appliquent aux données nominatives, aux données couvertes par le secret, la confidentialité, en matière d’accès, de sécurisation, de durée de conservation…) ? Qui est responsable des données sensibles ? L’entreprise est-elle préparée à réagir à leur perte ? Qui en assure le suivi ? Quand ont-elles été « nettoyées » pour la dernière fois (il est préférable d’effacer les données qui ne servent plus à rien plutôt que d’en stocker indéfiniment des millions que l’on risque de se faire voler) ?

La sécurité n’est donc pas uniquement question de logiciels. L’affaire Wikileaks tendrait même à démontrer, une fois de plus, que la sécurité est aussi une simple question de gestion des ressources humaines. Ne laissez pas vos salariés désœuvrés, il pourrait vous en coûter.

Source : 01netPro

Actualité

l Accueil l Intrapole l Alerte sécurité l Expertise l RÈfÈrences l Partenaires l Téléchargements l FAQ l Contacts l