Quelques « anti-patterns » de sécurité informatique en entreprise

Voici des comportements que j’ai souvent vus en entreprise. Ils ont tous une logique certaine, mais cachent en général une négligence (et parfois méconnaissance) de la sécurité informatique.

Il faut dire que sécuriser, c’est des contraintes à court terme, pour (peut-être) réduire un risque à moyen terme. Donc ça va souvent à contre-courant.

Déni

Il n’y a aucun dysfonctionnement, donc il n’y a pas lieu de s’inquiéter. On s’en serait bien rendu compte si on avait été piraté. Et puis qui nous voudrait du mal ?

Ne soyons pas parano à imaginer des scenario d’attaque complètement farfelus. Il faut aussi voir les choses positives plutôt que de voir le mal partout.

Fonctionnalité plutôt que sécurité

La sécurité, c’est bien gentil mais la priorité c’est de sortir la fonctionnalité, de penser d’abord à nos utilisateurs, de respecter nos échéances/coûts. C’est là-dessus que mon responsable m’attend.

Il faut être raisonnable/pragmatique et faire les choses par étapes : on sécurisera plus tard (si il reste du temps/budget, et si je n’oublie pas…)

Si le navigateur affiche des alertes de sécurité sur des plugins vulnérables, il faut le faire taire pour ne pas perturber les utilisateurs. Et on ne peut pas mettre à jour ces plugins parce qu’il faudrait faire des tests de non-régression, et c’est long et coûteux.

Dilution des responsabilités

Comme j’ai commandé une prestation en mode forfait, je suppose que mon prestataire ne va pas négliger cet aspect, même si je n’en ai pas parlé explicitement. C’est un professionnel, quand même, qui ne confie pas la réalisation à des débutants, et qui a un devoir de conseil.

Et puis il y a un responsable/une équipe/un audit sécurité pour s’occuper de ça : à chacun son boulot.

Foi dans les outils de sécurité

On est protégé par le proxy/antivirus/firewall/autre. Donc si j’ouvre cette pièce jointe dans cet email étrange, ou si j’installe ce logiciel douteux, ça ne risque rien de toute façons.

Même chose pour les mises à jour de sécurité des OS et logiciels : à quoi bon se compliquer la vie à les tenir à jour, puisque je suis déjà protégé en amont.

Rien à cacher

On n’est pas Ashley Madison ni la NSA : de toutes façons, même si on se fait pirater, on n’a rien de très confidentiel.

Nivellement par le bas

Y’a cette grosse faille de sécurité à côté, que personne ne corrige. Donc je vois pas de raison de m’embêter, moi, à en corriger des bien moins graves. Et de toutes façons tout le monde a l’air de s’en foutre.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *