Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les failles de sécurité d'un SI : A manipuler avec précaution

Les failles de sécurité d'un SI : A manipuler avec précaution
2009-09-252013-04-11sécurité organisationnelle et humainefr
Au sein d'une entreprise, tout acteur ou responsable sécurité est amené à être contacté lorsqu'une faille de sécurité vient à être identifiée sur l'un de ses systèmes, services ou produits. Les réactions à ce type de situation sont multiples et variées : Cela peut aller du...
Publié le 25 Septembre 2009 par Jean-François Audenard dans sécurité organisationnelle et humaine

Au sein d'une entreprise, tout acteur ou responsable sécurité est amené à être contacté lorsqu'une faille de sécurité vient à être identifiée sur l'un de ses systèmes, services  ou produits.

Les réactions à ce type de situation sont multiples et variées : Cela peut aller du déni pur et simple à l'affolement en passant par l'hostilité ou encore l'incrédulité ou même l'incompréhension toute simple. La réaction est souvent liée à la personnalité même de la personne mais aussi à la forme du message et à son messager.

Je ne rentrerai pas dans le coté exhaustif/énumératif : Je vais "coller à la piste" et me cantonner à quelques cas vécus.
Nous commencerons donc par le "calme" pour ensuite passer au négationniste et nous finirons par un tir groupé avec l'illogique et le "firefighter".

Le calme
Dans ce cas, nous avons affaire à un professionnel : Il analyse l'information avec objectivité et factuellement en la repositionnant dans son contexte général. Si certains points lui échappent ou si des compétences pointues sont requises il requière les conseils d'un expert.
Il sait mobiliser les meilleures compétences disponibles et sait délèguer en toute confiance. Le messager est systématiquement remercié pour ces informations et participe activement au plan de mise en place des mesures correctives ou va réaliser des tests après que celles-ci aient effectivement été déployées.
Aucune précipitation, pas d'affolement, les bonnes personnes sont là et gèrent avec rapidité , professionnalisme et solidarité : Nous avons ici affaire à un CSO, un directeur de la sécurité ou encore à un professionnel aguerri doté de capacités de management.
Ma petite note : C'est du réel, j'en connais quelques un mais ils ne courent pas les rues. En tout cas c'est du bonheur que de travailler avec eux. :-)

Le négationniste
Lui c'est plutôt le genre de personne du type "chef qui comprends pas" ou bien "chef qui veut pas comprendre pour pas être emmerdé embêté". Si il est le destinataire du message l'informant de la faille, il y a de grandes chances que mail reste "collé" quelque part (bizarre cette messagerie...) ou alors il le renvoie à une personne qui n'y connait rien ou pas grand chose : C'est la technique du parapluie.
Dans le même type, on a la personne qui n'y crois pas : Les failles et développements insécurisés c'est chez les autres ; la faille est tellement tordue ou complexe que seul un "gourou" pourra en faire quelque chose : Réaction très classique pour les personnes qui ne comprennent rien, ou ne veulent pas comprendre... De toute façon, c'est bien connu, les problèmes c'est pour les autres !
Ma petite note : C'est le profil "tocard de première" ou alors la personne a un peu de bouteille mais a du mal à se remettre en cause, surtout si c'est un jeunot qui lui a remonté le problème et qui en plus (!) ose lui mettre la pression à lui le responsable de la société X, Y. Bref ca sent l'égo de bas étage à plein nez. J'en connais aussi quelques-un. Non, je dénoncerai personne.

L'illogique et le "firefighter"
Dans cette catégorie on peut trouver un peu de tout. Cela va de la personne qui va s'investir pour comprendre le problème, trouver une solution rapide au problème, remercier la personne qui lui a remonté l'information pour ensuite la mettre devant les tribunaux...
Dans la même catégorie, le "firefighter" va mettre mettre la rustine qui va bien et puis il va passer à autre chose sans trop chercher à capitaliser ou à comprendre la raison du problème... C'est fort dommage car l'expérience de ce genre de problématique est riche d'enseignements si on prends la peine d'analyser objectivement ce qui s'est passé.
Ma petite note: Ici c'est danger ! Surtout quand le messager est extérieur : Je vous laisse jeter un œil sur cet article du monde.fr. Pour ce qui est du profil "firefighter" c'est un grand classique ; mais pour rester très franc, le temps nous étant tous compté, on traite et on passe à autre chose. Il faut simplement que ce ne soit pas une habitude mais reste l'exception qui confirme la règle.

En conclusion
Ne vous demandez pas dans quelle "case" ou à quel profile corresponds telle ou telle personne, le comportement adopté par une personne dépend d'un grand nombre de paramètres : Etat de fatigue, si le resto a été bon, si le messager a une bonne tête, si il a exposé le problème sur le web avant de lui lui laisser le temps de corriger, si ... , si .... Bref, vous m'avez compris !
Tout va bien si vous pensez être plutôt dans le "Calme" et quelque fois "firefighter". :-)

Bien évidemment, le "profiling" présenté ici reste mon opinion personnelle et n'engage donc que moi ! A bon entendeur : Bon week-end et roulez sécurisés !

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage