Bonnes pratiques informatiques
Rédigé par Joseph MICACCIA
2 commentaires
Classé dans : Le mot du RSSI
Les fêtes de Pâques approchant, j'ai une pensée pour une chouette personne, un curé qui savait des tas de choses et ses paroles sont vraies aussi aujourd'hui, pour la sécurité informatique, notamment.
"La justice de Dieu est sans appel."
Plus tard, j'ai compris ces paroles, vérifiées maintes fois. Les personnes qui font du mal, même tapies dans l'ombre, n'échappent pas au châtiment. Les pirates qui crachent leur venin sans cesse depuis des usines à Trolls ne sauront peut-être jamais d'où viennent les baffes qu'ils recevront...
"La justice de Dieu est sans appel."
Plus tard, j'ai compris ces paroles, vérifiées maintes fois. Les personnes qui font du mal, même tapies dans l'ombre, n'échappent pas au châtiment. Les pirates qui crachent leur venin sans cesse depuis des usines à Trolls ne sauront peut-être jamais d'où viennent les baffes qu'ils recevront...
De toute façon, les vilains qui viennent défier nos défenses informatiques le dimanche, à l'heure de la messe, n'entreront pas chez nous ! Probablement... peut-être... sûrement... car la sécurité informatique, c'est comme un ballon qui s'éloigne doucement... et qui s'éloigne encore davantage quand on lui donne un malencontreux coup de pied en tentant de le rattraper.
Chaque jour, il faut contrôler, vérifier... car les lignes bougent. Par exemple, les éditeurs (Microsoft & Co) ne maintiennent plus les MAJ de leurs systèmes devenus obsolètes. Donc, il faut migrer tous les serveurs et toutes les machines des utilisateurs, aussi. Et quand on a fini, on recommence, avec un nouveau système.
Car, dans le domaine de la sécurité informatique, quand on n'avance pas (au même rythme que les pirates), on recule.
Mais, est-ce si important ?
Dans une précédente note, j'avais fait état d'un indicateur qui aide à la décision pour placer le curseur de la sécurité : le rapport bénéfice/risque.
Mais, récemment, un dirigeant a dit que, dans son entreprise, ils utilisent un autre indicateur, les pertes et profits.
Heureusement, ce ne sont pas nos valeurs. Evidemment, avec beaucoup de pertes lors d'un sinistre, il y a moins de bénéfices, automatiquement. Et surtout, les assureurs augmenteront les cotisations, dans un premier temps, ce qui baissera davantage les bénéfices, de fait. Dans un deuxième temps, ils résilieront les contrats d'assurance, carrément.
Ce même dirigeant a dit que les formations de ses gars, il s'en fiche. Il délègue la sécurité à des prestataires, en mode SaaS. Et c'est rentable car les sommes mirobolantes qu'il donne à ses prestataires, il les récupère en partie, en payant moins ses informaticiens qui, de toute façon, ne font rien d'autre que "déballer des machines de leur carton", selon lui.
Ce monsieur aura probablement une autre vision le jour où son entreprise subira une attaque, peut-être fatale. Car, contrairement à lui, les personnes avisées savent qu'on n'a pas fini de claquer des ronds pour la sécurité informatique. Pour s'en convaincre, il suffit de regarder les gros salaires que propose l'armée aux spécialistes (civils) de la sécurité informatique (voir APEC). Et elle n'exige pas de diplômes de type "mouton à cinq pattes", car ce qui compte, c'est le savoir-faire. Il y a quelques années, on a viré un général visionnaire car il demandait un peu d'argent pour renforcer les défenses nationales. Aujourd'hui, on dépense beaucoup plus, et dans l'urgence ! Car force est de constater que le monde est en train de changer, radicalement. Et on prend des mesures, enfin, y compris dans la société civile. Actuellement, il y a une ribambelle de futurs nouveaux ingénieurs qui sont en formation, mais ils ne seront pas prêts avant cinq ans, au mieux, et il faudra patienter cinq ans de plus pour qu’ils soient expérimentés.
Alors, en attendant, restons vigilants car on ne peut compter que sur nous-mêmes.
Et, en tant qu'utilisateur de l'informatique, chacun de nous peu faire un peu : respecter la charte informatique est un bon début.
