Il y a quelques semaines, un e-mail m’invitait à rappeler le directeur financier. Peut-être souhaite-t-il m’octroyer une rallonge budgétaire pour mon projet de gestion de certificats numériques ? Malheureusement, il
voulait simplement m’informer que notre commissaire aux comptes allait venir auditer notre SI financier, sorte de Sarbanne-Oaxley à la française. Quelques jours plus tard, un gamin sapé comme un communiant débarque et me sort son
questionnaire type.Je n’ai rien contre les questionnaires types, à condition qu’ils soient crédibles. En l’occurrence, les questions se suivaient sans cohérence, sautant de la connexion Internet au Single Sign-On. Au bout d’une
demi-heure, l’affaire était bouclée et l’effronté m’avait même confié une liste de documents à lui transmettre. Une semaine plus tard, le temps de rassembler la politique de sécurité, les règles de filtrage de notre coupe-feu
et quelques demandes types pour des créations de comptes, j’appelle mon apprenti auditeur et lui demande sa clé publique afin de chiffrer l’e-mail que je m’apprête à lui envoyer. Après quelques secondes d’hésitation, il
m’avoue qu’il n’a pas de certificat ni aucune autre solution de chiffrement…Je finis par générer un autoexécutable chiffré et lui indique par téléphone le mot de passe. Un mois plus tard, les conclusions sont favorables, mais le jeune homme nous recommande de mettre en ?”uvre une solution de détection
d’intrusion… Le côté positif est que, désormais, même le commissaire aux comptes a des exigences de sécurité. Je compte bien m’appuyer sur ce constat pour argumenter mes dossiers d’investissements.* MM. Red, Green, Yellow, Blue et Purple sont cadres dans des services informatiques. Chaque semaine, à tour de rôle, ils vous font partager le fruit de leur expérience.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
