Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans « service informatique », il y a le mot « service ». Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.
L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.
Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…
Plutôt que « Comment survivre à une cyberattaque ? », les articles de presse devraient s’intituler : « Comment survivre à ses utilisateurs ? ». C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique « Sécurité informatique, ne pas en avoir peur« . Petit tour d’horizon :
Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur « ne cliquez pas sur les liens bizarres », alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas « l’utilisateur a cliqué sur un lien piégé ». Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.
Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. « ALORS ? Mmmmm… tout ça pour ça ? ». Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (« je ne peux pas être considéré comme responsable, je dormais à ce moment-là« ).
Pourtant tout le monde connaît la loi de Murphy : « Tout ce qui est susceptible d’aller mal, ira mal ». Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).
Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa « valeur ajoutée » prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que « Skype souhaite se mettre à jour », « la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE ». Alors, il a parfois envie de hurler « MAIS POURQUOI CA CHANGE TOUT LE TEMPS ? ». Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.
Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : « Ah, vous allez me demander de changer mon mot de passe ? ». 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).
Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : « nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau ». Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.
Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.
Comme le disaient Les Inconnus :
"Il en faut pas prendre les gens pour des cons, mais il ne faut pas oublier qu'ils le sont !"
Oui, le "service" informatique se doit d'aider au maximum les utilisateurs.
Seulement certains font parfois preuve d'une mauvaise foi hallucinante … et d'aucune prise d'initiative.
Dernière en date :
– allo, j'ai un pb, quand je tape au clavier, il se passe plein de trucs bizarres …
Pas moyen d'avoir plus de précision tellement le comportement semble erratique.
Déplacement sur place : je jette un œil sur le bureau : un classeur est posé sur un coin du clavier, appuyant sur la touche "ctrl" …
Alors forcément, dès qu'on tape sur P, C, V, A, etc … ça fait les raccourcis correspondants, et ça fait n'importe quoi.
Que faire face à un utilisateur qui n'est même pas capable de se dire "mon clavier semble déconner quand je tape, faisons un peu de ménage sur ce qu'il y a dessus" …
Pire : comment font les gens quand ils ont ce genre de pb chez eux ?
Bref. Pas toujours facile de survivre "sans rigoler" des utilisateurs de type "PEBKAC" 😉
Je suis bien d'accord que c'est difficile de travailler dans un service informatique. Mais se moquer des utilisateurs parce qu'ils sont moins à l'aise que l'expert ne me semble pas la bonne attitude.
"certains font parfois preuve d'une mauvaise foi hallucinante … et d'aucune prise d'initiative."
"je jette un œil sur le bureau : un classeur est posé sur un coin du clavier, appuyant sur la touche "ctrl" "
Peut-être votre utilisateur n'avait il tout simplement pas remarqué que son classeur était posé sur la touche CTRL et le lien entre un bug et cette touche n'est pas évident pour lui…
Vous êtes un geek, un informaticien. Vous avez plusieurs années d’expérience de l'utilisation d'ordinateurs derrière vous. Ces années d'expérience vous ont donné certains réflexes. Vous avez probablement fait de grosses boulettes mais appris avec la pratique à ne plus les faire.
Par exemple, si j'ai un problème de connexion réseau, mon premier réflexe est de vérifier que le câble réseau est bien enfoncé… Si des trucs pas normal s'affichent à l'écran je vérifie d'abord que les touches ne sont pas encrassées… Il y a quelques années, je nettoyais régulièrement la boule des souris.
Votre utilisateur n'as pas ces années d'expérience en informatique, ni même l'intérêt pour.
Pour lui son clavier n'est qu'un outil de travail dont il se passerait peut-être bien. Il s'y connaît autant que vous en code pénal, par exemple. Vous savez qu'il ne faut pas passer au feu rouge, qu'il ne faut pas tuer les gens, etc. En gros. Et c'est tout
Pas besoin, pas le temps.
Pour faire un parallèle, supposons que votre utilisateur soit un avocat pénal.
Il connaît toutes les subtilités de la garde à vue, tout ce qu'il faut dire et ne pas dire aux policiers pour éviter d'avoir des ennuis.
Supposons que, pressé de rentrer chez vous, vous grillez un feu "orange très mûr" et vous vous faites contrôler par un policier de mauvaise humeur.
On parie que vous allez faire beaucoup de bêtises dans votre comportement à l'égard du policier? Bêtises que votre utilisateur-avocat n'aurait jamais fait, qu'il considérerait même comme "pas possibles d'être bête à ce point là?!"? On parie qu'il y a de bonnes chances que vous vous retrouviez en garde à vue?
Si vous ne me croyez pas, lisez un peu les blogs de maître Eolas et maître Mo, c'est très instructif!
Appelé chez une utilisatrice qui sait à peine par quel bout attraper le mulot pour importer des mails dans son Outlook je constate avec Horreur qu'elle range tous ses mails importants et à conserver dans…. je vous le donne en mille ? La corbeille… littéralement le seul endroit où il ne faut pas.
Je lui explique donc calcmement et poliment que ce n'est pas une bonne façon de faire même si c'est techniquement possible, et devant son incompétence crasse je prends sur moi de faire la moitié de son boulot de lassement des mails importés.
Résultat ?
elle est allée se plaindre en haut lieu que je "critiquais sa méthode de travail" et que je n'étais pas "user oriented"
Sale P*** tu as de la chance que ma conscience professionnelle me retienne de te jouer les pires tours du monde sur ton PC.
La pédagogie est pour moi la base d'un bon service support. Il faut expliquer, sans prendre l'utilisateur de haut, les bonnes pratiques. Il y a forcément des utilisateurs qui auront un comportement déplacé vis-à-vis des "petites mains" du support. Placez-vous près d'une caisse de supermarché et vous verrez des comportements méprisants haïssables. AMHA Vous avez bien fait de rester professionnel. La vengeance viendra le jour où cette personne demandera un service personnel (du genre: j'ai un problème sur mon ordi perso) et où vous pourrez répondre sur un ton professionnel neutre : je n'interviens pas sur les ordinateurs personnels 😉
Dans une précédente vie, lorsqu’un collègue a fait du ménage sur un serveur de messagerie d’un client, le directeur dudit client s’est mis en rogne car on avait effacé tous les e-mails qu’il avait placés dans la corbeille. Exactement la même chose.
Mais plutôt que d’insulter les utilisateurs, pourquoi ne pas essayer de les comprendre ? Pouruqoi font-ils ça ? Qu’est-ce qu’une corbeille, dans un environnement de bureau ? Eh bien une corbeille c’est avant tout un récipient en métal ou en plastique qui est placé sur le bureau et dans lequel on trie nos documents… Il suffit de chercher « corbeille » sur le site d’Office Dépôt (ou concurrent) pour s’en convaincre.
Pourquoi les développeurs de ces logiciels n’ont pas choisi le mot « poubelle » plutôt que « corbeille » ? En anglais, « trash can », c’est clair. En français, non. On ne peut pas blâmer l’utilisateur.
Plutôt que de lui expliquer calmement et poliment que « ce n’est pas une bonne façon de faire »‘ pour au final avoir une utilisatrice qui se plaint, tu aurais par exemple pu dire quelque chose comme :
« désolé, en effet le logiciel n’est pas clair, malheureusement dans l’équipe informatique on n’a pas la possibilité de changer cela, le développeur du logiciel (Microsoft, ou autre) a choisi d’utiliser le mot « corbeille », mais là où vous placez vos e-mails c’est une poubelle. Il arrive que l’équipe informatique nettoie les serveurs, et dans ce cas il est possible que nous vidions les poubelles. Afin de ne pas perdre vos e-mails, il serait préférable de les classer dans d’autres dossiers. »
Bon article dans l'ensemble ! 🙂
De mon point de vue il manque un élément majeur mais trop souvent négligé : ne pas bosser dans les transports/lieux publics.
Entre les infos "concrètes" (nom de client, devis etc…), on peut chopper des noms de domaines, des logins utilisateur, des infos sur les types de machines et encore plein d'autres choses que je n'ai certainement pas encore croisé.
Bref une bonne règle à adopter : on travail au travail.
et puis tant pis si le ppt pour trucmuche à qq heures de retard ou une journée… tant qu'on sauve pas des vies, autan s'abstenir.
"Il reçoit tous les jours des messages de son ordinateur lui indiquant que "Skype souhaite se mettre à jour""[…]
Une des raisons pour lesquelles je suis passé sous lunix chez moi…
Dans le cadre d'une entreprise, le boulot d'un RSSI (ou plus simplement de ceux qui installent les postes de travail) serait que ce genre de messages n'apparaisse JAMAIS.
Parce que :
1- si la question est légitime et que l'utilisateur dit "oui", il va ronchonner parce que ça ralentit sa machine
– donc au final le prochain coup il cliquera "non"
– rendant donc sa machine vulnérable (mise à jour non faite).
2- mais il est aussi possible qu'il en vienne à cliquer "oui" systématiquement
– ce qui pose problème avec les alertes d'un pare-feu, par exemple…
– ou si le "oui" était pour valider l'installation d'un adware/ spyware/ saletéware sur sa machine.
Et c'est normal. Il n'a pas l'expertise technique pour comprendre ce que ces alertes à la c0n lui demandent. C'est pas son boulot.
Il n'aura pas non plus l'esprit s'il installe un logiciel de lire la totalité des CLUFs (l'informant par exemple qu'en utilisant ce logiciel "gratuit" il cède tous ses droits sur les oeuvres faites avec ce logiciel à l'éditeur du logiciel…) et éventuellement de décocher certaines cases qui, cochées par défaut, vont installer tout plein de logiciels formidablement inutiles et parasites…
Bonjour!
Plongé jusqu'aux oreilles dans cette problématique, et bien que je sois d'accord avec l'article en général, je dois bien admettre qu'il est largement idéaliste.
Personnellement dans une équipe de 1 1/2, soit moi, et un directeur partagé a mi temps qui ne fait pas de technique, gérer 8 kms de fibre, 22 sites distants et 300 utilisateurs, ben si je ne mets aucune limite je me fais déborder. Et le problème étant que je fais si bien mon boulot, que la direction "ne voit pas l'intérêt" d'augmenter l'équipe.
Et si dans "service informatique" il y a "service", dans "users" il y a "user" (à prononcer en français). Et pas que le matériel.
Donc non, à un moment donné, la pédagogie, je la pratique sur ceux qui y sont réceptifs. Sur les autres, quand même un bon 40%, c'est verrouillage de partout, et surveillance toute particulière des logs et du trafic.
Autre sujet: littéralement gavé par microsoft, j'ai entrepris de passer une bonne partie de mes "users" (mouahaha) sous ubuntu, en gardant mes systèmes centralisés type AD, exchange, etc. J'ai enfin une solution fonctionnelle à beaucoup d'aspects, si quelqu'un est intéressé par la problématique, n'hésitez pas. Il existe des solutions.
Et mes utilisateurs le vivent très bien 😀
Les politiques de changement régulier de mot de passe sont d'une profonde stupidité.
Un changement de mot de passe tous les six mois réduit simplement la durée pendant laquelle un utilisateur non autorisé peut accéder à des ressources informatiques protégées. Le gain théorique de sécurité est au mieux faible.
On peut même raisonnablement penser qu'il est négatif : les utilisateurs ayant 300 mots de passe à gérer, ils vont se contenter de passer de toto1 à toto2 puis toto3, en faisant d'autant plus simple qu'on leur demande de changer souvent. Pas très compliqué pour un pirate de deviner le suivant.
Alors bien sûr, il existe des techniques pour générer des mots de passe uniques et résistants à base (à base du nom du site, de premières lettres de phrase, …). Mais vous ne les ferez jamais adopter massivement et aucune n'est triviale.
Il faut donc en finir avec les politiques de changement régulier de mot de passe relève de la superstition informatique. Vous ne changez pas vos serrures tous les six mois que je sache ?
Raah,
Voilà des semaines que j'attendais la suite et le teasing est insupportable !
Vous aussi ?
L'attente est insupportable. J'en viens à me dire que Zythom est monstre qui prend plaisir à nous torturer 😀