Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La ruée vers la donnée (saga de l'été?)

La ruée vers la donnée (saga de l'été?)
2009-07-272013-02-11bonnes pratiquesfr
Cela fait bien longtemps que je n'ai joué sur un ordinateur, les jeux devenant trop complexes pour moi. Néanmoins, je me souviens que pour passer un niveau, il fallait toujours se mesurer à un « boss ». Or, j'ai un peu l'impression que le monde de la sécurité est un gigantesque jeu...
Publié le 27 Juillet 2009 par Philippe Maltere dans bonnes pratiques
Cela fait bien longtemps que je n'ai joué sur un ordinateur, les jeux devenant trop complexes pour moi. Néanmoins, je me souviens que pour passer un niveau, il fallait toujours se mesurer à un « boss ». Or, j'ai un peu l'impression que le monde de la sécurité est un gigantesque jeu vidéo, on commence par des choses simples puis de plus en plus complexes. La seule différence est que pour la sécurité, on croit toujours qu'il s'agit du dernier niveau, et c'est déçu que l'on passe à un autre plus difficile même si on n'a pas tué le boss, contrairement aux jeux où l'on attend avec impatience le niveau supérieur en ayant fait le ménage complet sur les niveaux inférieurs.


Et la sécurité se « crée » des boss, non on parle plutôt de menaces pour faire un peu plus sérieux. Au départ, la menace externe et le piratage (d'ailleurs bizarre de commencer par seulement 20% des menaces potentielles), puis les malwares, puis le spam, avec des résultats variables, et parfois des boss non éliminés en cours de route. Puis un petit malin (il faut bien le dire), s'est dit, puisque c'est l'utilisateur qui travaille au sein de l'entreprise, protégeons le (en fait l'utilisateur ne nous intéresse pas, grave erreur)ou plutôt son outil de travail. Idée de départ vers la révélation, vers la lumière... La sécurité du poste de travail étant (déjà) obsolète avant d'avoir commencé (ou plutôt un niveau où le boss est encore bien en vie !). On se tourne maintenant vers le nouveau niveau de jeu, et c'est juré craché, le dernier, la protection de la donnée sous toute ses formes (informations, données binaires, structurées ou non). Il est vrai que c'est là que toute bonne sécurité logique aurait dû commencer. Les données et leur manipulation au sens large sont la base de l'informatique (curieuse impression d'enfoncer des portes ouvertes, mais c'est l'été, on m'a demandé d'être simple). Il existe pas mal de type de données pour les futurs articles, j'en distinguerais 3 : données binaires (ou programmes informatique), données structurées (en général se trouvant dans les bases de données de l'entreprise), et le reste que j'appellerai données non structurées se trouvant un peu partout (et même à des endroits n'appartenant pas à l'entreprise : téléphone, clé,...). Pour bien commencer, chaque entreprise doit déterminer l'importance de chaque donnée en son sein, car une donnée ne nait pas libre et à l'égal des autres, c'est ce que l'on appelle la classification des données. Il est d'ailleurs bizarre que les outils du marché devenant chaque jour un peu plus complexes (DLP, IRM), font bien souvent l'impasse sur cette première étape pourtant obligatoire, ainsi que la seconde la gestion d'accès à ces chères données.

Voici le décor planté, nous allons essayer de clarifier les choses (malheureusement pas toutes, les boss du premier et du deuxième niveau ne sont pas encore éliminés) pendant cette phase estivale.

1 Commentaire

  • 28 Juillet 2009
    2009-07-28
    par
    Florent
    Et si on faisait comprendre aux entreprises qu'il ne faut pas laisser les utilisateurs toucher aux postes de travail ?
    Terminaux passifs, pas de connecteurs USB ou lecteur CD... Impossibilité d'installer des logiciels. Internet banni.
    La messagerie et c'est tout !

    Je n'ai vu que ça dans des contextes vraiment sécurisés comme la "défense" ou dans les banques aux USA...

    Alors quel est l'intérêt de laisser l'utilisateur de se sentir libre de tout faire avec son poste de travail ? Surfer sur Internet, changer son fond d'écran, télécharger des screensavers plein de virus... Quand il se sentira lui-même en faute pour chercher à dépasser les protections, alors ça sera déjà un bon point.

    Je les connais les gens qui cliquent sur les virus dans les spams en se disant "de toute façon j'ai un antivirus sur ma machine alors si y a un problème c'est de la faute de l'antivirus..."

    Après on pourra commencer à penser au chiffrement des données avec accès limité via IRM. Car ce sont les utilisateurs "sensibilisés" qui utilisent correctement ces logiciels.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage