« En auditant une grande banque, dont la salle des serveurs était bien sécurisée, je me suis rendu compte que tous les serveurs n'y étaient pas. Une partie se trouvait dans un local destiné à stocker des sauvegardes peu importantes, mais qui, en attendant de déménager, servait aussi à soulager la salle principale ! », se souvient Élisabeth Conseil, consultante sécurité pour le groupe Telindus. Les mesures de sécurité mises en place à grand renfort de budgets, d'audits et de contraintes étaient ainsi devenues inutiles.

Pourtant, les solutions temporaires, si elles sont destinées à rester réellement momentanées, sont souvent une alternative bien pratique aux problèmes opérationnels. Le tout étant d'en mesurer les risques. Et c'est bien là que le bât blesse, car ces solutions sont généralement mises en oeuvre en dehors de toute procédure officielle. Témoin, cette entreprise qui pensait être protégée derrière son coupe-feu. « Tout fonctionnait sans problème apparent, et pour cause : un prestataire avait mis une règle " passe-partout " lors de la configuration d'une application, et l'avait oubliée. Le coupe-feu ne filtrait plus rien, mais donnait les apparences d'un fonctionnement normal », renchérit Élisabeth Conseil. De tels arrangements se retrouvent aussi dans la gestion des comptes utilisateurs : quand il est nécessaire de tester une application avec les droits administrateur, un compte doté de droits étendus est créé pour l'occasion. Et si l'entreprise ne dispose d'aucune procédure pour contrôler la création de comptes, il est fort probable que les comptes créés existeront toujours une fois l'application mise en production. Là encore, ce n'est pas tant le provisoire qui est un problème que son installation dans la durée.