De l’utilité d’une démocratisation à la sécurité informatique : dialogue entre un chef d’entreprise et une consultante en sécurité informatique

base de données
responsabilité
sécurité
sites Web

*Ce dialogue est la retranscription d’une conversation survenue la semaine dernière.  Les avis exprimés n’engagent que moi. *

La consultante : « Alors ? Quand est-ce que tu vas sortir ton site ? »

Le chef d’entreprise : « Normalement, dans un mois.  Mes ingénieurs bossent encore dessus pour que tout soit parfait. »

La consultante : « Donc tu es encore en pré-prod. Ils vont tester la sécurité du site avant de le propulser j’imagine ? »

Le chef d’entreprise : « Aucune idée, ce n’est pas mon problème. »

La consultante : « Si. En tant que chef d’entreprise, il te revient légalement la charge de faire en sorte que ton service soit suffisamment sécurisé pour ne pas mettre en danger leurs données personnelles.  Je ne te rappelle pas le contenu des articles 1382, 1384 et suivants. »

Le chef d’entreprise : « Les données bancaires ne sont pas gérées par moi mais directement par la banque qui s’occupent des prélèvements. En quoi un nom ou une adresse email poserait problème ? »

La consultante : « Tes clients vont se créer des comptes sur ton service ? »

Le chef d’entreprise : « Oui, et ? »

La consultante : « Donc ils auront des identifiants avec des mots de passe. Qui vont être gérés par tes services, dans une base de données. Or, on sait qu’une personne possède en moyenne 25 comptes différents mais seulement six mots de passe différents. Et quand on sait que la plupart des personnes utilisent des mots de passe facilement cassables, même si ta base de données est illisible pour un oeil humain, facile de retrouver des informations intéressantes. »

La chef d’entreprise : « En même temps, même si des personnes mal intentionnées ont accès à des données personnelles, ça ne vaut pas grand-chose. »

La consultante : « Que tu crois ! Ça se vend très bien ! Certaines boîtes achètent des fichiers entiers frauduleusement constitués pour spammer. D’autres rackettent carrément les comptes de réseaux sociaux ou autres.  Un nom, un prénom, une adresse email ont de la valeur et encore plus si le mot de passe est fourni avec et encore plus si le mot de passe est bien "lisible". »

Le chef d’entreprise : « Mouais mais tu sais, je connais mes ingénieurs, je leur fais confiance, ils savent ce qu’ils font. »

La consultante : « La confiance n’empêche pas de vérifier. S’ils font une erreur, tu es légalement responsable devant tes clients. Par ailleurs, que sais-tu de leurs compétences en sécurité informatique ? C’est un domaine très vaste et personne n’est à l’abri d’une erreur. »

Le chef d’entreprise : « C’est bien gentil tout ça mais je fais quoi ? »

La consultante : « Tu fais finir ton site par tes ingénieurs, tu le fais tester avant de le rendre publiquement accessible. »

Le chef d’entreprise : « Je continue à penser que ça n’est pas utile. »

Le dialogue s’arrête ici et est révélateur d’une chose : outre la démarche commerciale – sans intérêt ici – il montre surtout qu’il subsiste des personnes qui vont gérer des informations personnelles à travers des outils informatiques, qui ne sont absolument pas conscientes de l’importance des dites informations.  De ce fait, il revient aux particuliers de prendre aussi leurs responsabilités, non seulement en prenant des informations sur les services auxquels ils souhaitent souscrire, en les confrontant, mais également en faisant preuve de bon sens notamment en ce qui concerne les mots de passe.  A bon entendeur. 

Commentaires

« [...] il subsiste des personnes qui vont gérer des informations personnelles à travers des outils informatiques, qui ne sont absolument pas conscientes de l’importance des dites informations. »

Tu veux dire que ce n'est pas la norme ? Parce que si, mis à part les quelques gros qui (parfois) se soucient un peu des problématiques de sécurité et de traitement des données personnelles, qui (de temps en temps) on un CIL et (rarement) se font auditer (jamais) régulièrement ; c'est la norme de se moquer de la masse d'informations personnelles qu'on gère et de la sécurité des sytèmes d'accès ou de traitement.

C'est peut-être (surement?) la norme mais ça n'en reste pas moins dommageable ...

Ajouter un commentaire