The plaster effect
Note: L'idée de ce billet et le texte proviennent d'un collègue anonyme le tout agrémenté avec une légère collaboration de ma part.
Chaque jour nous sommes confrontés à des problèmes de sécurité pouvant être simples ou bien complexes. Malheureusement, la cause desdits problèmes est la plupart du temps causé par une mauvaise gestion de la sécurité de l'information et en résultant à l'effet plaster.
Lorsqu'un problème doit être corrigé, la plupart du temps "un plaster" est utilisé, si les coûts sont trop chers, un plaster si cela ne doit pas s'ébruiter, un plaster si, etc. En somme, présentement et en généralisant un brin, la sécurité est une simple infirmerie de rustines temporaires et de contrôles compensatoires.
La plus grosse partie du budget en sécurité est orientée vers la gouvernance, donc dans la mise en place de normes et de règles. Ainsi, puisque le budget est de haut niveau, le budget et les ressources nécessaires permettant de corriger les problèmes sont très limités (niveau opérationnel). C’est la réalité à laquelle les analystes et les techniciens en sécurité font face de plus en plus. La gouvernance à sa place, certes, mais elle devrait être comme la structure d'une organisation, le bas de la hiérarchie (opérationnel) est le niveau regroupant le plus grand nombre d'employé et là où il y a le plus grand nombre de jours/personnes et d'efforts d'effectué, donc le plus gros budget et le plus de ressources. Comparativement à la gouvernance et les hauts dirigeants, ils devraient être moins nombreux et ainsi moins de jours/personnes leur sont accordés. De ce fait, mettre en place une grande équipe technique pour la mise en place des mesures de sécurité, et inversement, une petite équipe pour décider de l'orientation de la sécurité et de la méthode pour la mise en place de celle-ci (gouvernance et analyse) serait plus judicieux et efficace contre les nombreuses attaques/vols d'information/erreurs techniques/etc. auquel nous faisons face tous les jours... voir toutes les secondes.
Ainsi, nos entreprises et gouvernements pourront empêcher des attaques tant internes qu'externes grâce à des mesures de sécurité concrète et complète et ne pas relever 100% des normes et des documents répondant à une loi, mais bien appliquer et répondre réellement à ces lois et au bien des utilisateurs possédants des données confidentielles comme vous et moi dans ces entreprises.