vendredi 20 avril 2018    || Inscription
BanniereNews
 
 
la rédaction / dimanche 20 août 2017 / Catégories: Blog, Humeur

Histoire vécue incroyable de RSSI (1)

Le téléphone laissé dans un taxi (n°1 d’une longue série à venir….)

L’histoire ci-dessous est tirée d’un cas réel de panique d’un utilisateur / utilisatrice, assez incroyable, mais complètement réel. Des informations de l’entreprise sont exposées. L’utilisateur ne se maîtrise pas. Les solutions techniques sont simples et connues, mais ont-elles été appliquées ?
Il y a un besoin de réelle responsabilisation des acteurs, quitte à passer, ensuite, à des mesures coercitives envers les utilisateurs qui "pètent les plombs".

Un téléphone laissé dans un taxi provoque une panique incroyable

Un utilisateur de l’entreprise vient de laisser son téléphone dans un taxi alors qu’il répondait au téléphone, envoyait un SMS et payait le chauffeur de taxi. Puis reprenait des bagages, lourds et encombrants. Un peu stressé et paniqué par on ne sait quoi … L’utilisateur, quoique responsable à un haut niveau, est désemparé et craque, ne sachant plus ce qu’il doit faire une fois son « doudou numérique professionnel » perdu. Il se comporte comme un gamin, ou une gamine. Scénario de panique et début d’un comportement totalement irrationnel.

 

Et pour cause, le smartphone contient de nombreux fichiers importants et possède un extraordinaire carnet d’adresses dans lequel on trouve les lignes directes de responsables politiques, de patrons du CAC 40, de grands avocats, magistrats et des accords avec des clients, partenaires, fournisseurs, ainsi que des informations sur ces concurrents.

Le téléphone est utilisé comme le fait Monsieur, ou Madame, tout le monde. Il sert à envoyer des SMS sur tous sujets. L’utilisateur n’a pris conscience de ce que porte son « doudou numérique professionnel ».

Manque total de discernement par rapport à ce qui doit être fait

Le chauffeur de taxi peut revendre l’appareil aux puces, mais peut aussi consulter son contenu. Que faire ? Appeler la police ? Porter plainte, contre le taxi ! Contre qui, reste à voir qui est X ? Quel est le préjudice ?  Aller dans un commissariat de police pour signer la plainte que le gardien de la paix ne va vouloir prendre. Ou appeler le service hotline de l’opérateur ? Appeler son avocat, etc. Pris d’une soudaine peur panique, l’utilisateur, qui a de bonnes relations, se met à faire tout cela à la fois … En perdant tout sens de la réalité. Et se lance dans toutes ces opérations à la fois, en désordre (cas véridique !). En s’en prenant avec panique à l’opérateur et à la Police qui ne savent pas lui répondre …

Sans la moindre analyse rationnelle de la situation et du risque …..

La réalité du risque

Une analyse calme devrait mettre en évidence que le chauffeur de taxi a sans doute plus intérêt à garder le téléphone pour lui qu’à en faire autre chose. Il est peu probable qu’il cherche à exploiter les données dont il ne connaît même pas la valeur. Si les informations ne concernent pas la défense nationale et les intérêts de l’Etat, mais les simples affaires d’une PME, le risque doit être apprécié pour ce qu’il est uniquement.

Les données n’ont d’ailleurs pas été volées, mais « abandonnées » par maladresse par l’utilisateur.

Passons à l’analyse technique de la protection de ces informations.

Les solutions de sécurité

Si le téléphone a activé une fonction d’auto-verrouillage, il sera très difficile au chauffeur de taxi de l’utiliser et même de passer le moindre appel téléphonique. Il est possible de paramétrer un « auto verrouillage » après 30 secondes, 1 minute, 10 minutes d’inactivité. Il est possible de chiffrer la mémoire du smartphone, rendant son exploitation impossible à un chauffeur de taxi. Il est possible d’opérer à distance l’effacement de toutes les données du téléphone égaré. Il était possible d’avoir conservé une copie de toutes ces données sur un autre média. Bref, le sujet ne pose aucune difficulté technique.

Toutes solutions existent et sont bien connues. Tout a été dit, trouvé, réalisé depuis des années.

Ce qui avait été dit dans les programmes de sensibilisation du RSSI

Le RSSI a mis en place un programme de sensibilisation et a tout expliqué à tout le monde depuis des années. On est content de ses formations. Il a le sentiment du devoir accompli.

 

Mais les consignes ont-elles été appliquées et suivies ? Dans une entreprise de plusieurs dizaines de milliers d’employés, le RSSI peut mettre en œuvre des outils de gestion de parcs pour s’en assurer. C’est un projet à soi, avec un budget significatif et cela a du sens de le réaliser.

Mais que faire dans une entreprise de quelques centaines de personnes, ou de moins de 100 personnes, voire de 10 personnes ? La petite entreprise a un avantage pour le RSSI qui est que celui peut s’adresser directement à ses « ouailles ».

Et alors, l’objectif n’est pas de sensibiliser, mais de responsabiliser et de faire de ses collègues les acteurs et les relais de la sécurité de l’entreprise. Ce n’est plus des scénettes avec question QCM, mais du contact en direct avec les dirigeants et les utilisateurs. Du corps à corps pour fixer les limites que l’on ne peut pas imposer avec des gros et lourds outils de GRC (gouvernance risk compliance), ou de management de parc de plus 10.000 utilisateurs.

La vraie vie pour les PME qui savent se défendre : les paires de baffes

Concrètement, pour les récalcitrants, on passe alors à la phase "des paires de claques", comme avec des "sales mômes" :

Il n’est pas de bon ton d’écrire que ceci est la réalité du travail de RSSI, mais qu’importe. Cela se passe comme cela dans les entreprises qui protègent leurs informations. Dans les autres entreprises, les informations fuitent, avec les conséquences qui s’ensuivent. C'est pire !

A la fin de cette histoire, l’utilisateur / l'utilisatrice, qui a perdu son téléphone, quel que soit son rang, ses relations et ses responsabilités a commis une faute et a eu un comportement irrationnel. Il / elle ne peut être que blâmé(e).

Les discours de sensibilisation affirmant « qu’il convient de xxxxx » ne servent à rien, ou sont des vœux pieux, si les acteurs ne se sentent pas responsables.

Dans le cas de notre histoire, l’utilisateur avait été sensibilisé à toutes les questions de sécurité, mais n’a pas agi comme une personne responsable. Un excès d’égo pour revendiquer l’état de ses relations conduit à une perte d’efficacité alliant le ridicule. Ses états d’âme n’apportent aucune sécurité supplémentaire et porte atteinte à l'image de l'entreprise. 

Les bonnes pratiques et le retour à la sérénité

Les bonnes pratiques comprennent donc :      

  • Une sauvegarde des données du téléphone.
  • Un auto-verrouillage assez rapide du terminal après inactivité.
  • Un chiffrement des données de l’appareil.
  • Une possibilité d’effacement à distance des données de l’appareil.
  • Une formation de l’utilisateur le responsabilisant.
  • Une action coercitive réelle en cas de comportement aberrant, après la sensibilisation. Ceci peut être exposé de manière claire et ferme lors de la sensibilisation / responsabilisation.

Et alors, tout se passera bien …

Print
3586

Name:
Email:
Subject:
Message:
x