Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans « service informatique », il y a le mot « service ». Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.
L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.
Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…
Plutôt que « Comment survivre à une cyberattaque ? », les articles de presse devraient s’intituler : « Comment survivre à ses utilisateurs ? ». C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique « Sécurité informatique, ne pas en avoir peur« . Petit tour d’horizon :
Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur « ne cliquez pas sur les liens bizarres », alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas « l’utilisateur a cliqué sur un lien piégé ». Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.
Les attaques :
Le RSSI
est attendu au tournant : à la première attaque réussie, tous les
regards se tournent vers lui. « ALORS ? Mmmmm… tout ça pour ça ? ». Le
Conseil d’Administration met la pression sur le Directeur Général, le DG
se tourne vers son Directeur des données qui appelle son DSI, lequel
convoque le RSSI… Dans une politique de sécurité du système
d’information, on appelle cela la chaine de responsabilité. En cas
d’attaque réussie (entreprise arrêtée, données dans la nature…) la
pression est énorme. Je pense que le succès de la série Chernobyl tient
aussi du fait que beaucoup de personnes se reconnaissent dans
l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à
appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (« je ne peux pas être considéré comme responsable, je dormais à ce moment-là« ).
Pourtant tout le monde connaît la loi de Murphy : « Tout ce qui est
susceptible d’aller mal, ira mal ». Une attaque informatique réussie arrivera.
Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI.
C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai
dans un billet dédié (teasing :).
Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa « valeur ajoutée » prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que « Skype souhaite se mettre à jour », « la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE ». Alors, il a parfois envie de hurler « MAIS POURQUOI CA CHANGE TOUT LE TEMPS ? ». Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.
Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : « Ah, vous allez me demander de changer mon mot de passe ? ». 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).
Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : « nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau ». Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.
Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.
Comme le disaient Les Inconnus :
"Il en faut pas prendre les gens pour des cons, mais il ne faut pas oublier qu'ils le sont !"
Oui, le "service" informatique se doit d'aider au maximum les utilisateurs.
Seulement certains font parfois preuve d'une mauvaise foi hallucinante … et d'aucune prise d'initiative.
Dernière en date :
– allo, j'ai un pb, quand je tape au clavier, il se passe plein de trucs bizarres …
Pas moyen d'avoir plus de précision tellement le comportement semble erratique.
Déplacement sur place : je jette un œil sur le bureau : un classeur est posé sur un coin du clavier, appuyant sur la touche "ctrl" …
Alors forcément, dès qu'on tape sur P, C, V, A, etc … ça fait les raccourcis correspondants, et ça fait n'importe quoi.
Que faire face à un utilisateur qui n'est même pas capable de se dire "mon clavier semble déconner quand je tape, faisons un peu de ménage sur ce qu'il y a dessus" …
Pire : comment font les gens quand ils ont ce genre de pb chez eux ?
Bref. Pas toujours facile de survivre "sans rigoler" des utilisateurs de type "PEBKAC" 😉
Appelé chez une utilisatrice qui sait à peine par quel bout attraper le mulot pour importer des mails dans son Outlook je constate avec Horreur qu'elle range tous ses mails importants et à conserver dans…. je vous le donne en mille ? La corbeille… littéralement le seul endroit où il ne faut pas.
Je lui explique donc calcmement et poliment que ce n'est pas une bonne façon de faire même si c'est techniquement possible, et devant son incompétence crasse je prends sur moi de faire la moitié de son boulot de lassement des mails importés.
Résultat ?
elle est allée se plaindre en haut lieu que je "critiquais sa méthode de travail" et que je n'étais pas "user oriented"
Sale P*** tu as de la chance que ma conscience professionnelle me retienne de te jouer les pires tours du monde sur ton PC.
Bon article dans l'ensemble ! 🙂
De mon point de vue il manque un élément majeur mais trop souvent négligé : ne pas bosser dans les transports/lieux publics.
Entre les infos "concrètes" (nom de client, devis etc…), on peut chopper des noms de domaines, des logins utilisateur, des infos sur les types de machines et encore plein d'autres choses que je n'ai certainement pas encore croisé.
Bref une bonne règle à adopter : on travail au travail.
et puis tant pis si le ppt pour trucmuche à qq heures de retard ou une journée… tant qu'on sauve pas des vies, autan s'abstenir.
"Il reçoit tous les jours des messages de son ordinateur lui indiquant que "Skype souhaite se mettre à jour""[…]
Une des raisons pour lesquelles je suis passé sous lunix chez moi…
Dans le cadre d'une entreprise, le boulot d'un RSSI (ou plus simplement de ceux qui installent les postes de travail) serait que ce genre de messages n'apparaisse JAMAIS.
Parce que :
1- si la question est légitime et que l'utilisateur dit "oui", il va ronchonner parce que ça ralentit sa machine
– donc au final le prochain coup il cliquera "non"
– rendant donc sa machine vulnérable (mise à jour non faite).
2- mais il est aussi possible qu'il en vienne à cliquer "oui" systématiquement
– ce qui pose problème avec les alertes d'un pare-feu, par exemple…
– ou si le "oui" était pour valider l'installation d'un adware/ spyware/ saletéware sur sa machine.
Et c'est normal. Il n'a pas l'expertise technique pour comprendre ce que ces alertes à la c0n lui demandent. C'est pas son boulot.
Il n'aura pas non plus l'esprit s'il installe un logiciel de lire la totalité des CLUFs (l'informant par exemple qu'en utilisant ce logiciel "gratuit" il cède tous ses droits sur les oeuvres faites avec ce logiciel à l'éditeur du logiciel…) et éventuellement de décocher certaines cases qui, cochées par défaut, vont installer tout plein de logiciels formidablement inutiles et parasites…
Bonjour!
Plongé jusqu'aux oreilles dans cette problématique, et bien que je sois d'accord avec l'article en général, je dois bien admettre qu'il est largement idéaliste.
Personnellement dans une équipe de 1 1/2, soit moi, et un directeur partagé a mi temps qui ne fait pas de technique, gérer 8 kms de fibre, 22 sites distants et 300 utilisateurs, ben si je ne mets aucune limite je me fais déborder. Et le problème étant que je fais si bien mon boulot, que la direction "ne voit pas l'intérêt" d'augmenter l'équipe.
Et si dans "service informatique" il y a "service", dans "users" il y a "user" (à prononcer en français). Et pas que le matériel.
Donc non, à un moment donné, la pédagogie, je la pratique sur ceux qui y sont réceptifs. Sur les autres, quand même un bon 40%, c'est verrouillage de partout, et surveillance toute particulière des logs et du trafic.
Autre sujet: littéralement gavé par microsoft, j'ai entrepris de passer une bonne partie de mes "users" (mouahaha) sous ubuntu, en gardant mes systèmes centralisés type AD, exchange, etc. J'ai enfin une solution fonctionnelle à beaucoup d'aspects, si quelqu'un est intéressé par la problématique, n'hésitez pas. Il existe des solutions.
Et mes utilisateurs le vivent très bien 😀
Les politiques de changement régulier de mot de passe sont d'une profonde stupidité.
Un changement de mot de passe tous les six mois réduit simplement la durée pendant laquelle un utilisateur non autorisé peut accéder à des ressources informatiques protégées. Le gain théorique de sécurité est au mieux faible.
On peut même raisonnablement penser qu'il est négatif : les utilisateurs ayant 300 mots de passe à gérer, ils vont se contenter de passer de toto1 à toto2 puis toto3, en faisant d'autant plus simple qu'on leur demande de changer souvent. Pas très compliqué pour un pirate de deviner le suivant.
Alors bien sûr, il existe des techniques pour générer des mots de passe uniques et résistants à base (à base du nom du site, de premières lettres de phrase, …). Mais vous ne les ferez jamais adopter massivement et aucune n'est triviale.
Il faut donc en finir avec les politiques de changement régulier de mot de passe relève de la superstition informatique. Vous ne changez pas vos serrures tous les six mois que je sache ?
Raah,
Voilà des semaines que j'attendais la suite et le teasing est insupportable !