Je suis parcouru récemment sur un article du site thehackernews, ou une fois de plus les méfaits du marketing m’ont frappé (ou la théorie de l'arroseur arrosé ...). La société X, sous prétexte de mettre à disposition un nouvel outil gratuit vérifiant les environnements, associé à un livre blanc, se pose en sauveur de la communauté. Et oui, mettre en évidence qu’une bonne configuration est un outil indispensable pour la sécurité est révolutionnaire !
un marketing au service de l'utilisateur
Pour ma part, je me laisserais plus facilement convaincre avec une approche inverse :
"vous savez tous qu’il est indispensable d’avoir une configuration solide des solutions en production dans vos infrastructures. Malgré tout, le turn over de vos équipes, le nombre de produits différents ou tout simplement la charge de travail ne permettent pas de garder un niveau homogène et sécurisé de façon pérenne. Nous vous proposons donc pour vous accompagner dans cette tache… blablablabla."
Si je ne nie pas que le sujet est majeur et sans doute l’un des axes les plus efficaces et les moins chère pour renforcer sa sécurité, l’approche citée plus haut continue à me hérisser les poils sur le dos.
Et cela d’autant plus qu’en ce début d’année, tous les bilans sur les attaques 2011 ont montré une fois de plus que le top 10 était composé de mêmes évidences : mot de passe faible, configuration bancale, gestion des droits tendancieuse … Je persiste donc. Le sujet est bon, mais l’approche particulièrement discutable.
tournons nous vers l'avenir
En étant un poil extrémiste, je pourrais me laisser aller à suggérer que plutôt que de dépenser de l’énergie dans une telle communication, il serait plus intéressant de se rendre auprès des jeunes destinés à devenir nos futurs experts pour les former aux bonnes pratiques.
L’enseignement reste aujourd’hui encore très académique et les échanges avec les professionnels pour avoir un retour terrain concrêt encore trop peu développé, alors même que ces échanges sont très enrichissant pour tous.
Les hommes d'expérience y gagneront un peu de fraicheur. L'examen des sujets avec une approche parfois totalement à l'opposé du moule officiel, mais pour autant pertinente malgré tout, reste particulièrement intéressante pour continuer à réfléchir. Les jeunes, eux, comprendront un peu mieux ce que représente la sécurité au sein d'une entreprise de façon pratique.
Bref, revenons aux basiques et sortons des envolées lyriques.
Cédric
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.