jeudi 17 janvier 2008

Le risque humain illustré


En faisant ma veille quotidienne, je suis tombé sur un court entrefilet de Zataz. On y apprend mi-amusé, mi-incrédule qu'un ingénieux pirate s'est fait passer pour le patron de la Barclays, l'une des cinq principales banques britanniques. Son subterfuge a si bien réussi qu'il s'est fait envoyer une carte de crédit avec laquelle il a réussi à soutirer plus de 13500 euros.

Cette semaine, j'ai déjeuné avec l'une de mes connaissances professionnelles proches, RSSI de son état. Discutant de choses et d'autres, il me raconte que son entreprise a probablement perdu plus d'1 million d'euros (véridique !) fin 2007, une
paille si l'on compare cette perte au CA de ce groupe. Un des concurrents a récupéré des infos confidentielles et, connaissant le secteur d'activités et la façon qu'ont les responsables concernés de ne pas avoir confiance dans l'informatique pour y stocker les informations concernées, mon collègue RSSI a une forte présomption d'un vol physique des documents concernés, en semaine et en journée de surcroît.

En apparence, il n'y a pas de lien direct entre ses deux anecdotes, hors préjudice financier ?! En réalité, le lecteur averti que vous êtes, a tout de suite compris que les deux délinquants se sont appuyé sur une faille identifiée préalablement. Cette faille dans les deux cas était d'origine humaine. Individuelle dans un cas, collective dans l'autre.
Les moyens de réduire drastiquement les risques qui sont liés à la problématique humaine sont connus, ont fait et continueront de faire la preuve de leur efficacité : une bonne analyse de risques, l'organisation adéquate ou la réorganisation au besoin, de la formation et de la sensibilisation pour l'ensemble du personnel. Avec bien-sûr en point d'orgue les moyens et la systématisation des contrôles, réguliers et aléatoires (revues, audits) des dispositifs mis en oeuvre. A choisir, il vaut mieux hausser le niveau de paranoïa des employés que de conforter leur laxisme (et celui de la direction) !

Pour terminer ce premier billet de l'année 2008, permettez-moi, cher lecteur ou lectrice échoué ou non par hasard sur ce blog, de vous présenter tous mes voeux de santé, de bonheur et de prospérité.


1 commentaire:

JKL a dit…

Pour l'exemple cité, il est vrai que des mesures plus contraignantes pour les employés ne seraient pas de trop. Par contre, les exigences sécurité ont tendance à suciter le "rejet" dans d'autres domaines car mal dimensionnées. Certes, il faut que ça rentre dans les moeurs mais la méthode par force brute n'est pas forcément la plus adaptée.