Parfois, le chiffre... ment !

Depuis quelques mois, la prise de conscience autour du thème de la sécurité des SI va croissante dans notre société. Ce constat fait plutôt figure de bonne nouvelle ! D'ailleurs, il n'est pas une semaine sans que tel ou tel directeur n'exprime sa volonté de chiffrer les informations traitées dans son service. Évidemment, ses données à lui sont vraiment confidentielles, sous-entendu bien plus que celles des autres services. Cela va de soi ! Bref, tout cela part d'une bonne intention, mais, une fois de plus, j'ai l'impression que certains de nos décideurs abordent le problème à l'envers. En effet, la gestion de la confidentialité est une chose, le chiffrement des données en est une autre. Pour preuve, un de ces fameux managers, en tant que maître d'ouvrage, avait exigé que l'application dont il a rédigé les spécifications fonctionnelles dans son coin, c'est-à-dire sans se faire assister du DSI, intègre le chiffrement des données stockées en base. Le développement de cette application a été confié à un prestataire qu'il a aussi choisi. Ce dernier a flairé la bonne affaire et a sorti le grand jeu, enfin si l'on peut dire... Recette rapide et mise en production à la vitesse de l'éclair ! Sauf que deux mois après ce lancement, l'application a cessé de fonctionner. Le mot de passe du compte applicatif avait expiré. Ce fut néanmoins l'occasion de regarder le code de plus près et de nous apercevoir que le mot de passe ainsi que la clé de déchiffrement des données figuraient tout simplement en clair sur le poste client. Du grand art ou alors plutôt de l'escroquerie à la sécurité. Morale de cette histoire : il vaut parfois mieux ne pas gérer la confidentialité et en être conscient que dêtre rassuré à tort en la gérant... mais mal !
M.Yellow@decisioninfo.net