25 ans dans une startup – billet n.38

Introductionbillet n.37.5

Il restait à tirer les leçons de cet événement pour hausser le niveau de sécurité.

Depuis le piratage de ce blog en 2012, lors d’une conférence sur la sécurité informatique où j’étais invité comme conférencier pour parler de mes activités d’expert judiciaire (lire le billet « pwned« ), je me suis intéressé de près aux questions de sécurité informatique. Mon premier réflexe a été de lire tout ce que je pouvais sur internet, et il y a une tonne de références.

Puis je me suis intéressé aux documents de l’ANSSI, référence en la matière, et en particulier à la méthode EBIOS. J’ai commencé par auditer mon périmètre personnel, mes pratiques un peu light et trop confiantes. J’ai ensuite modifié mes habitudes, et en particulier j’ai segmenté mes identités numériques : identité comme blogueur, identité comme professionnel, identité comme expert judiciaire, identité comme conseiller municipal, etc. La compromission d’une boite email de l’une de ces identités numériques ne doit pas impacter les autres. Enfin, j’espère.

Tout ce travail d’analyse a eu comme conséquence de mettre un peu d’ordre dans mes pratiques et hausser un peu mon niveau de sécurité : modification en profondeur de la politique de sécurité des systèmes d’information de mon entreprise, et étapes par étapes, amélioration des procédures et meilleure identification du périmètre de sécurisation. J’ai endossé, petit à petit, la fonction de RSSI, en plus de toutes les autres.

Ma politique en matière de sécurité informatique est assez simple : chaque compte informatique sera un jour piraté, chaque ordinateur sera un jour compromis et chaque utilisateur cliquera un jour sur un lien malicieux. Plutôt que de faire culpabiliser tout le monde sur ces sujets, j’essaye de mettre en place des outils pour anticiper l’intrusion, pour réparer la perte d’un poste de travail ou pour faciliter le redémarrage de l’activité en cas de compromission. Un mode « best effort » pragmatique mais organisé.

J’ai établi la liste des services rendus, à la mode ITIL, la liste des logiciels, la liste des risques, etc. Tout ce travail m’amenait vers une conclusion assez évidente : le logiciel informatisant notre cœur de métier, notre ERP, était agonisant. Il fallait d’urgence mener une opération de remplacement, une opération à cœur ouvert du système d’information.

Billet n.39

————–

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

La sécurité, un travail d’équipe (allégorie)