Les cas d’individus et d’organisations qui vivent des problèmes informatiques reliés à la sécurité des systèmes ne cessent de se multiplier. Or, plusieurs ont des outils mal configurés, inutilisés ou désactivés. Comment changer les mœurs d’insouciance?
Il ne se passe pas une semaine sans qu’un média traditionnel ou un site Web d’actualité sur l’Internet ne rapporte une situation problématique reliée à la sécurité de systèmes informatiques.
Notamment, le cas d’infection des systèmes informatiques du département de la sécurité intérieure des États-Unis (le Homeland Security Department) a fait couler beaucoup d’encre et généré bien des caractères électroniques. Dans le cadre des travaux d’un comité de la Chambre des représentants, il a été révélé que ce département fédéral aurait connu 844 incidents reliés à la sécurité des systèmes d’information en 2005 et en 2006.
Ces incidents comprendraient le branchement d’ordinateurs personnels aux réseaux gouvernementaux, l’installation de logiciels non autorisés et l’envoi de courriels confidentiels sur des réseaux non autorisés, mais aussi l’infection de systèmes par des virus et des chevaux de Troie, la présence de réseaux de zombies, le pillage de données confidentielles et l’utilisation de pare-feu mal configurés.
En considérant le rôle important joué par ce département, dont la mission est de « protéger l’Amérique », les carences en matière de sécurité informatique font penser au proverbe « cordonnier mal chaussé »… Comment une organisation si importante peut-elle avoir tant de problèmes causés par des pratiques non sécuritaires de la part du personnel et l’emploi de logiciels inadéquatement configurés?
Certains peuvent sourire face à l’ironie de la situation, mais il pourrait être pertinent de regarder dans sa propre cour avant de rire des autres. Nombreux sont les individus et les entreprises qui n’ont pas une protection optimale de leurs systèmes d’information ou de leurs données.
En 2007, une portion de la population d’utilisateurs et d’utilisatrices d’ordinateurs n’a recours à aucun moyen de protection. Le sentiment d’invincibilité pourrait motiver leurs comportements, alors que ces personnes cultivent la « pensée magique » que rien ne peut leur arriver. Leurs systèmes sont peut-être infectés et leurs données sont peut-être épiées via l’Internet – certains ont des réseaux sans fil sans serrure virtuelle – mais ils n’ont aucun moyen de le savoir tant et aussi longtemps qu’une panne ou qu’un événement impliquant des informations privées ou financières ne s’est pas produit.
Un autre groupe de personnes possède des outils, mais ces derniers sont mal configurés ou sont fondés sur des définitions périmées. L’utilisation des outils donne des résultats positifs – tout va très bien Madame la marquise – mais des risques latents ou flagrants persistent puisqu’ils ne sont pas détectés. Enfin, un autre groupe d’utilisateurs d’ordinateurs ont des outils à jour, mais ils ne les utilisent pas, faute de temps, car le précieux temps est si important qu’on reporte certaines tâches à plus tard, en faveur d’autres tâches plus agréables…
Dans ces situations, le temps, l’argent et la liberté d’action sont les facteurs qui influencent les comportements de ces personnes face à l’utilisation des outils de sécurité. Ces outils sont trop chers! Ils prennent trop de temps à balayer mon ordinateur! Ils ralentissent les performances de mon système!, clament-ils. Pourtant, un ordinateur qui cesse de fonctionner en raison d’un problème informatique peut être coûteux et affecter les performances du travail…
Le comportement des individus est une chose, mais celui des organisations en est une autre. Que penser des politiques trop permissives en matière de connexion des appareils personnels sur les réseaux corporatifs? Ici encore, c’est l’équilibre entre la sécurité et la liberté d’action qui semblent causer des problèmes. Des organisations ne veulent pas fournir des appareils portatifs aux employés et préfèrent leur permettre le recours à leurs systèmes personnels, mais ils ne sont pas prêts à fournir des logiciels de sécurité, ni à implanter des mécanismes de vérification de la présence d’outils essentiels de sécurité.
Et bien souvent, les comportements passent de la réactivité à la proactivité lorsqu’un incident très dommageable survient…
Or, des dizaines d’incidents surviennent sans que le commun des mortels en connaissance l’existence. S’il fallait que les médias, ou pire encore, que les actionnaires de l’entreprise soient au courant de telles bourdes! Si le verrouillage des portes et fenêtres et la présence de gardes de sécurité sont indiscutables pour assurer la sécurité physique des lieux, pourquoi courir autant de risques pour la sécurité informatique? Faudrait-il un audit obligatoire pour changer les habitudes?
Malheureusement, les incidents reliés à la sécurité des systèmes informatiques ne sont pas prêts de disparaître. Un jour, peut-être, les insouciants technologiques réaliseront qu’ils vivent dans un Far-West numérique où personne n’est à l’abri. Espérons qu’ils en prendront conscience avant que les filous n’attaquent leurs disques rigides!
