De la sécurité informatique sans tests...
Il y a quelques jours un client m’a contacté pour évaluer l’intervention d’un prestataire en sécurité informatique.
Sa mission était de sécuriser et isoler un poste de travail utilisé par les candidats aux emplois dont l’évaluation nécessite un ordinateur. Ces candidats sont laissés ‘tranquilles’ une petite heure afin de répondre à une sorte de QCM web-based contenant des questions techniques.
Mon intervention s’est formulée sous forme de ‘challenge’ : j’avais pour objectif de sortir physiquement des données internes de l’entreprise.
Lorsque je me suis connecté au profil, j’ai vite constaté que beaucoup de choses avaient effectivement été verrouillées. Cependant, l’icône d’un programme de messagerie instantanée clignotait en bas à droite…
Il y a deux morales dans l’histoire:
1) C’est de l’argent facile. Ca c’était la morale à laquelle tout professionnel pense mais ne l’exprime pas tout haut. Je dois sûrement manquer de déontologie… =/
2) La seconde morale s’adresse aux décideurs qui passeraient par ici. Demander à un prestataire de sécurité de ‘sécuriser’ une partie ou toute votre infrastructure informatique n’a aucune valeur (si ce n’est pour votre comptabilité) si vous ne faites pas tester la sécurité après coup. Ce test ne doit pas forcément être effectué par un autre prestataire mais, c’est mieux ; )