Parfois, le chiffre... ment !
MM. Red, Green, Yellow, Blue et Purple sont cadres dans des services informatiques. Chacun leur tour, ils vous feront partager le fruit de leurs expériences.
Depuis quelques mois, la prise de conscience autour du thème de la sécurité des SI va croissante dans notre société. Ce constat fait plutôt figure de bonne nouvelle ! D'ailleurs, il n'est pas une semaine sans que tel ou tel
directeur n'exprime sa volonté de chiffrer les informations traitées dans son service. Évidemment, ses données à lui sont vraiment confidentielles, sous-entendu bien plus que celles des autres services. Cela va de soi ! Bref, tout cela
part d'une bonne intention, mais, une fois de plus, j'ai l'impression que certains de nos décideurs abordent le problème à l'envers. En effet, la gestion de la confidentialité est une chose, le chiffrement des données en est une autre.
Pour preuve, un de ces fameux managers, en tant que maître d'ouvrage, avait exigé que l'application dont il a rédigé les spécifications fonctionnelles dans son coin, c'est-à-dire sans se faire assister du DSI, intègre le chiffrement des données
stockées en base. Le développement de cette application a été confié à un prestataire qu'il a aussi choisi. Ce dernier a flairé la bonne affaire et a sorti le grand jeu, enfin si l'on peut dire...
Recette rapide et mise en
production à la vitesse de l'éclair ! Sauf que deux mois après ce lancement, l'application a cessé de fonctionner. Le mot de passe du compte applicatif avait expiré. Ce fut néanmoins l'occasion de regarder le code de plus près et de nous
apercevoir que le mot de passe ainsi que la clé de déchiffrement des données figuraient tout simplement en clair sur le poste client. Du grand art ou alors plutôt de l'escroquerie à la sécurité. Morale de cette histoire : il vaut
parfois mieux ne pas gérer la confidentialité et en être conscient que dêtre rassuré à tort en la gérant... mais mal !
M.Yellow@decisioninfo.net
M.Yellow@decisioninfo.net