Go to Top

La sécurité commence par l’identité

Vie privée

Entrer dans le système d’information de l’entreprise est la condition sine qua non pour pouvoir y exploiter ressources et données. En dehors des failles, toute la sécurité tient dans la manière dont est conçue l’identification des personnes autorisées à y accéder et à leur niveau d’accès. L’informatique doit être conçue comme l’accès aux coffres d’une banque, la sécurité commence par l’identité.

Les mots de passe énervent les utilisateurs et parfois même les patrons d’entreprises, qui, pour certains, vont jusqu’à laisser traîner un post-it sur leur écran « pour leur assistante ». Le mot de passe est la clé de sécurité faite pour accompagner l’utilisateur à s’authentifier sur le système d’information avec des droits d’utilisation qui lui sont conférés : l’accès accepté par la personne lui délègue une responsabilité qui respecte le travail et la vie privée de chacun. Sur ce dernier point, contrairement à ce que beaucoup de gens pensent, la vie privée ne concerne pas forcément les photos des enfants sur le bureau Windows, mais bien plutôt les fiches de paye de chacun, les frais remboursés, etc.

En plus de l’identité de la personne et de ses droits, les conditions d’accès font partie des critères de sécurité avancée. Ainsi, l’utilisateur peut être autorisé à se connecter depuis un certain type de matériel, depuis un certain type de réseau, depuis un certain pays, à certaines heures… Etc. Tout ceci se définit aussi dans la politique de sécurisation. Il n’est pas rare aujourd’hui, y compris dans le Cloud, de voir des systèmes qui peuvent révoquer tel ou tel mobile et le vider de ses données à partir du moment où la personne ne fait plus partie de la société, voire le mobile a été volé ou perdu.

L’omniprésence de l’informatique dans l’économie et la vie privée en général ont engendré des réflexions en termes de régulation. Le premier niveau de norme à respecter se base sur l’ISO 7498-2:1989 (cela ne date pas d’hier) ; elle s’occupe de s’assurer que le système d’information utilisé respecte l’authentification (l’identité), le contrôle d’accès (le niveau d’accès), la confidentialité des données (une donnée n’est accessible qu’aux personnes autorisées sous certaines conditions) et l’intégrité des données.

Si l’utilisateur n’a pour effort que de se concentrer sur la mémorisation d’un mot de passe, le DSI doit quant à lui garantir à l’entreprise que tout ce qu’il fait empêche le pire et favorise le meilleur. Et comparé à un mot de passe, c’est une gymnastique bien plus complexe et coûteuse ; il serait bien dommage de tout gâcher par de la fainéantise intellectuelle. Laisser trainer un post-it du mot de passe de chef de service ou de patron à la disposition de n’importe qui, est à la limite de l’illégalité car il s’agit pour le moins de négligence. Aux Etats-Unis, ceux qui laissent ouvert un point d’accès Wifi au public sans mot de passe sont passibles de sanctions par la loi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *