PICSI

Règles d'or

On termine ce parcours avec quelques points de bon sens qu'il est bon d'avoir en permanence à l'esprit lorsqu'on traite de la sécurité des informations. L'expérience prouve qu'il n'est pas toujours facile de garder son bon sens lorsqu'on est noyé dans les problèmes techniques:

• La sécurité est une chaîne: la solidité de cette chaîne dépend de la solidité du maillon le plus faible. Inutile de blinder la porte d'entrée si la fenêtre de derrière est mal fermée.
• La sécurité à 100% n'existe pas. Aucune méthode, aucun mécanisme, aucun individu ne peut prétendre fournir une sécurité absolue. L'important est d'abaisser le risque à un niveau acceptable pour l'organisme, en fonction des ressources financières et humaines disponibles.
• Le facteur humain est essentiel. Les moyens techniques les plus sophistiqués ne servent à rien en présence d'utilisateurs qui enfreignent les règles les plus élémentaires. Il est inutile de mettre en place un système d'authentification et de journalisation des connexions au SI si les utilisateurs échangent leurs mots de passe, les écrivent sur des post-it collés aux écrans ou échangent leurs cartes à puce (pratiques observées très fréquemment). Il faut d'abord convaincre et emporter l'adhésion des collaborateurs, à commencer par celle de la hiérarchie.
  
• La sécurité est un problème organisationnel avant d'être un problème technique, en particulier dans les grandes structures. Si l'on ne sait pas qui est responsable de quoi, les décisions pertinentes ne seront pas prises, ni les budgets débloqués. Et s'il n'y a pas de politique de sécurité et de règles claires, comment  déterminer et caractériser les infractions ?
  
• Le cloisonnement est un principe général de sécurité efficace et qui n'est pas forcément coûteux. Il se délcine au niveau des activités humaines, des réseaux de communication, comme des programmes informatiques.
• Faire simple: la complexité d'une solution n'est pas un gage de sécurité et peu masquer des vulnérabilités.
  
• Une part importante des malveillances proviennent de l'intérieur de l'organisme (détournements, vengeances, expressions de frustration diverses...). Il ne s'agit pas uniquement de se protéger contre les agressions externes.
• La sécurité doit être prise en compte dès l'origine des projets. La prendre en compte a posteriori entraîne des difficultés techniques, des retards et des surcoûts.