Un commissaire qui compte...

Il y a quelques semaines, un e-mail m'invitait à rappeler le directeur financier. Peut-être souhaite-t-il m'octroyer une rallonge budgétaire pour mon projet de gestion de certificats numériques ? Malheureusement, il voulait simplement m'informer que notre commissaire aux comptes allait venir auditer notre SI financier, sorte de Sarbanne-Oaxley à la française. Quelques jours plus tard, un gamin sapé comme un communiant débarque et me sort son questionnaire type.

Je n'ai rien contre les questionnaires types, à condition qu'ils soient crédibles. En l'occurrence, les questions se suivaient sans cohérence, sautant de la connexion Internet au Single Sign-On. Au bout d'une demi-heure, l'affaire était bouclée et l'effronté m'avait même confié une liste de documents à lui transmettre. Une semaine plus tard, le temps de rassembler la politique de sécurité, les règles de filtrage de notre coupe-feu et quelques demandes types pour des créations de comptes, j'appelle mon apprenti auditeur et lui demande sa clé publique afin de chiffrer l'e-mail que je m'apprête à lui envoyer. Après quelques secondes d'hésitation, il m'avoue qu'il n'a pas de certificat ni aucune autre solution de chiffrement...

Je finis par générer un autoexécutable chiffré et lui indique par téléphone le mot de passe. Un mois plus tard, les conclusions sont favorables, mais le jeune homme nous recommande de mettre en ?"uvre une solution de détection d'intrusion... Le côté positif est que, désormais, même le commissaire aux comptes a des exigences de sécurité. Je compte bien m'appuyer sur ce constat pour argumenter mes dossiers d'investissements.