L’édito de MISC n°92 !

Les VIP constituent par essence une population complexe à gérer pour les responsables SSI. Ce sont les utilisateurs qui manipulent les données les plus sensibles d’une entreprise ou d’une administration, dont les fonctions les amènent à être mobiles et à devoir emmener une partie du patrimoine informationnel avec eux. Si ces problématiques représentent déjà un enjeu, certains peuvent se traiter d’une manière technique à renfort de chiffrement, d’authentification forte ou de terminaux durcis, tant que les matériels sont maîtrisés. Mais un autre paramètre, bien plus insidieux, risque de donner des sueurs froides aux responsables de la sécurité. De plus en plus de VIP sont en effet particulièrement friands de gadgets technologiques qui passent sous les radars de la DSI, tout en étant réfractaires aux règles de sécurité.

Ayant débuté ma carrière il y a une quinzaine d’années, j’ai commencé par me confronter à une génération hermétique à la technologie, voire plutôt intimidée. Au tout début des années 2000, il n’était pas rare de voir un cadre dirigeant dicter à sa secrétaire des e-mails et celle-ci imprimer chaque matin les messages reçus avant de les déposer dans un parapheur.

Le renouvellement de génération aidant, les VIP sont devenus de plus en plus fréquemment technophiles. Si l’on croise encore quelques réfractaires à l’informatique, se satisfaisant des outils standards proposés à l’ensemble des personnels, l’espèce est clairement en voie de disparition. Et au combo ordinateur portable et BlackBerry s’est rapidement substitué le mélange de terminaux professionnels et privés, d’usage de service Cloud grand public en complément (voire en substitution) du système d’information mis à disposition par la direction des systèmes d’information.

Combien de fois avons-nous reçu des mails envoyés par erreur, quand ce n’est pas quasi systématique, depuis une adresse Orange ou Gmail par les équipes de direction ? Ou encore la découverte de Dropbox ou autre Google Drive installés sur leurs portables quand ils sont envoyés aux équipes de maintenance pour le grand ménage de printemps parce que ça rame. Heureusement, grâce au streaming (merci YouPorn), l’époque de l’installation de logiciels de P2P sur les terminaux professionnels est un peu passée de mode. De même, on peut rendre grâce à la richesse des offres logicielles SaaS ou open source pour avoir un peu fait disparaître les logiciels Warez et leur bouillon de culture.

Un exemple criant de cette désinvolture nous a été donné lors de la dernière campagne présidentielle américaine par les deux candidats. D’un côté Hillary Clinton utilisant une boîte mail personnelle à la sécurité douteuse, et en tout cas largement inadaptée aux enjeux et aux menaces, et de l’autre Donald Trump refusant d’utiliser autre chose que son smartphone personnel, un Samsung S3 plus mis à jour depuis des années [1].

Pourtant la montée en force de la cybermenace, qu’elle soit d’origine étatique ou le fait d’activistes, risque d’être particulièrement disruptive et changer rapidement la donne. Qu’il soit possible de récupérer des informations sensibles de politiques ou de cadres dirigeants sur des services de Cloud grand public après une simple campagne de phishing risque d’être bien plus efficace que toutes les campagnes de sensibilisation menées par les équipes SSI et IT.

Cedric Foll / cedric@miscmag.com / @follc

[1] http://gizmodo.com/what-can-we-do-about-donald-trumps-unsecured-smartphone-1792559649

MISC n°92 est disponible en kiosque, sur notre boutique ainsi que sur notre plateforme de lecture en ligne Connect.

Laisser un commentaire