Piqure de rappel par ici ! SSI : Back to basics
La SSI est systématiquement acollée à une attaque XY dans des contextes de cybercriminalité, cyberterrorisme et autre acte de malveillance. Oui, cela est exact, mais partiellement.
Un risque SSI n’est pas forcément la conséquence d’une faille informatique d’un système d’exploitation, d’un applicatif mal ou pas assez protégé. Un risque SSI est aussi la conséquence symptomatique d’un mauvais management, et cela n’est que trop rarement perçu comme cela.
Si les processus d’une organisation sont peu ou pas adaptés à la réalité vécue au quotidien par ses utilisateurs alors tout naturellement ceux-ci vont se tourner vers des solutions de contournement, plus efficaces. Ce phénomène concerne aussi et surtout les outils informatiques, soutien de l’activité de l’entreprise. Et là, le contournement devient problématique, d’un point de vue SSI.
Exemple : il existe dans l’organisation un ERP utilisé de manière collaborative pour gérer, mettons des commandes. Or le processus modélisé dans cet ERP n’est plus aligné pour XYZ raisons d’avec la réalité de l’activité. Sous pression avec des contraintes de productivité associé à la lourdeur des services informatiques, les utilisateurs prennent alors l’initiative de créer en parallèle une base de données access utilisée par tout le bureau. Et au final, un risque SSI majeur (sans compter les risques organisationnels) car :
Ce système n’est pas connu des services informatiques, mettant à mal l’architecture et l’urbanisation des SI
Les informations déportées dans la base access sont peut être sensibles pour l’enteprise, sensibilité gérée dans l’ERP en terme de sécurité, ce qui n’est plus le cas avec la base access
Au bilan : avant de penser faille logiciel, ayez le réflexe "optimisation des process" dont l'une des vertu est une sécurité moins compromise.
--
Nicolas Mas
C'est mon quotidien !
Rédigé par : Bienlebisous.blogspot.com | 14/12/2009 à 16:23
Ah ? Alors - quelques retours d'expériences?
Rédigé par : Mas Nicolas | 19/12/2009 à 12:01