Le RSSI – l'agence tout risque des Systèmes d'informations (Part 2)

1
675

nuage-mot-cle-systeme-information
Barracuda → Le Dissuadeur: Le dédoublement, et la prévention d’accès
Looping → L’imprévisible: L’utilisateur fiable ou maillon faible
Barracuda → Le Dissuadeur: Le dédoublement, et la prévention d’accès
Points to remember:
La sécurisation du SI, le dédoublement des infrastructures, le mécanisme de redondance matérielle, les projets de gestion des identités et des accès.
Analysis:
“L’éléphant dans la salle” des RSSI est bien le fait que les enjeux de la sécurisation des SI sont souvent mal perçus. En effet, tel un récit de l’Iliade, bien trop d’experts restent sur la position qu’il suffirait de dédoubler tous les composants d’une infrastructure informatique (serveurs, routeurs, réseau, etc..) pour s’affranchir de toute panne et donc de s’aligner aux critères de qualité préconisés par la version HAS de l’Hôpital Numérique.
Evidemment une simple lecture des points d’interrogations suivants démentent ce mythe:

  • Comment un dédoublement matériel, réseau ou autre prévient d’une panne logique (virus, bug logiciel) naturellement récupérée des deux côtés des objets jumelés à cet effet ?
  • Que faire après dédoublement matériel, contre un redémarrage applicatif, OS ou matériel, tardif ?
  • Quelle valeur tangible apporte un dédoublement matériel si le délai de la panne est très bref (coupure électrique de quelques secondes) – ici le mécanisme de bascule est à peine en train de se mettre en marche que le cluster principal redevient disponible ?
  • Comment appliquer des scénarios laboratoires de redondance à des situations de la vraie vie ?
  • Allons nous aussi dédoubler les fonctions auxiliaires (comme l’hélicoptère du SAMU) ?

Ici, c’est bien la diffusion de la culture de sécurité qui devrait régir le PRA/PCA et non simplement la pleine confiance dans un outillage. La sécurité n’est pas un logiciel ni un matériel, mais une démarche qui tirera pleinement bénéfice de la rencontre des deux mondes: l’informatique et la qualité.
hackerSynthesis:
Ainsi, notre cher Barracuda nous recommanderait vivement d’appliquer plutôt de bonnes pratiques de gouvernance telle que la gestion des identités et des accès (IAM) applicables à un niveau matériel et logique (chroot jail).
 
 
Looping → L’imprévisible: L’utilisateur fiable ou maillon faible
Points to remember:
La perte d’intégrité des données, les erreurs de disponibilité, la perte de confidentialité, les fenêtres de rétention.
Analysis:
Le maillon faible est-il vraiment l’utilisateur ?
Les statistiques démontrent que les cas de figure qui pourraient impliquer un utilisateur averti, infractaire ou non-conforme aux règlements d’usage (ou peut-être même encore pas assez instruit dans l’utilisation des outils de la SI), restent minoritaires:

  • Perte d’intégrité des données due à la corruption d’une base de données médicale qui n’était pas connue de la DSI, donc non sauvegardée.
  • Erreurs de disponibilité du à un mauvais cadrage des fenêtres de rétention.

En réalité les seules erreurs imputables aux utilisateurs relèvent de la confidentialité. La perte ou le vol de fichiers clients (contenant des informations financières) sont généralement rétractables à la faute d’un informaticien.
securite-informatiqueSynthesis:
Ainsi, notre cher Looping nous recommanderait vivement d’éviter les amalgames, car en dehors des cas de perte de confidentialité, l’imputation absolue à l’utilisateur reste loin de la réalité.
securite-numerique
 
 
Call to action:
Mon parcours professionnel me permet d’échanger librement et honnêtement avec les professionnels impliqués ou affectés par ce phénomène. Si vous vous trouvez engagé dans une planification de projet ou encore une conduite de changement numérique, rejoignez-moi sur la toile pour plus de réflexion.
Pour une étude plus poussée, vous permettant de prendre de meilleures décisions, veuillez consulter notre bureau d’études chez SIH Solutions.
Sosthene-Grosset-JaninMr Sosthène Grosset-Janin
Conseiller Indépendent en stratégie numérique
Rejoignez-moi sur SIH Solutions pour les “Lundis de la sécurité numérique”!
www.sih-solutions.fr
sgrosset@gmail.com
https://www.linkedin.com/in/sgrosset

1 COMMENTAIRE

Laisser un commentaire