vendredi 4 septembre 2015

De la sécurité d'un système d'information et de la convivialité de son utilisation

Le SI de Thales est une cible de choix pour les hackers de tout poil. Comme pour toutes les grandes entreprises et administrations d'ailleurs. Rien d'original à notre époque, sauf que l'un des métiers de Thales, c'est justement la sécurité. Mais chaque entreprise a sa politique en la matière. Chez Thales, entreprise d'ingénieurs, on a d'ailleurs compris cela et depuis longtemps. Mais seulement pour la partie technique sécurité ! Car pour la facilité d'utilisation, on recule tous les jours.

 Alors on met des filtres dans tous les sens, des mots des passe partout (résultat, on ne passe nulle part...) de plus en plus compliqués, qu'il faut retenir saisir et changer de plus en plus souvent, des cartes à puces et bien d'autres joyeusetés. Utiliser une simple clé USB à 10€ relève du parcours du combattant. Envoyer et recevoir un fichier à l'extérieur tient du prodige, faire une sauvegarde relève de l'héroïsme, lire un CD n'est quasiment plus possible, surfer sur internet ressemble aux 12 travaux d'Hercule. A l'heure de la fibre, la vitesse est celle des vieux modems 56kbps, sans le bruit toutefois. Les mails reçus de l'extérieur sont débarrassés de leurs images, surtout des plus utiles et beaucoup ne peuvent même plus être compris.

A Thales, on travaille dans la complexité.  Très bien. Mais en revanche il est impossible de travailler dans la simplicité. Même pour la bureautique ordinaire quotidienne. Pour le vulgum pecus, un pc en réseau avec windows, word et excel est devenu un objet plus que banal. Mais chez lui. Parce que chez Thales où on a aussi des pc avec windows, word et excel mais rien n'est banal. Les dernières moutures sont tellement protégées et les procédures deviennent tellement fastidieuses que la partie du temps où on peut les utiliser correctement diminue à vue d’œil tous les jours. Utilisateur ordinaire Thales, vous perdrez un jour ou l'autre toutes vos données. Ah le cryptage marche toujours, mais le décryptage, c'est une autre histoire... Un jour où l'autre vous oublierez votre carte à puce.. et vous ne pourrez-plus rien faire sans aller la rechercher. C'est évidemment bien pire si vous l'avez perdue.

Alors voici une petite aventure du quotidien qui n'a rien d'unique mais est presque typique :
Un  jour, votre poste (ou votre "compte") est manipulé à distance par... quelqu'un du SI mais personne ne vous a prévenu. Vous partez le soir, tranquille car vous avez bouclé votre powerpoint pour la réunion du lendemain matin que vous avez organisée pour 12 personnes. Vous arrivez dès 8h du matin pour corriger trois coquilles et vous assurer que tout est bien en place. Vous glissez votre carte à puce dans votre poste Mobility dernière version Swit et vous tapez votre mot de passe super top secret avec plein de caractères tordus. Et patatrac... La bête vous insulte : "Ultilisateur désactivé" C'est parti pour la galère. Une seule solution : le Service Desk. Message d'accueil téléphonique plus que dissuasif : Tel incident est en cours : si c'est ça patientez et rappelez plus tard. Ensuite "vous êtes très nombreux à nous contacter.".. etc. ensuite musique, pendant 15 mn pour peu que la communication ne soit pas coupée. Vous racontez vos malheurs. On note votre appel (le ticket) mais sans les informations clés qui permettraient d'être efficace... on vous rappellera !. Vous pouvez annuler votre réunion et renvoyer tous vos invités en les appelant un par un. 3 heures après, personne n'a rappelé. Vous êtes bloqué. Ensuite c'est la débrouille. Trouver la personne qui, enfin, pourra s'occuper de vous. Une journée entière perdue. Et il y a bien pire, pour certains ce sont des jours voire des semaines de blocage....

A la CFTC nous clamons qu'une bonne sécurité ne peut s'obtenir qu'en développant un minimum de fiabilité, d'ergonomie, de convivialité et tout simplement de respect. Laisser complètement de côté ces aspects ne peut conduire... qu'à affaiblir cette sécurité, car tôt ou tard et malgré toutes les consignes, les utilisateurs sous pression permanente, finissent par jouer la débrouille. Et c'est effectivement pas très compatible avec la sécurité. C'est même un cercle vicieux !

1 commentaire:

Anonyme a dit…

Si l'on recueille les temoignages des salariés sur le sujet on pourrait écrire un roman de plusieurs centaines voir milliers de pages.
Petite aventure récente :
- on me livre un PC Swit, la personne m'explique qu'il faut à tout pris éviter qu'il se mette en veille car ces PC ont une grosse tendance a resté bloqué et planter le cryptage !!!
- je connecte un clavier souris et là le PC n'arrive pas a installer les drivers, obligé d'appeller le helpdesk. On comprends mieux pourquoi le helpdesk est surchargé !!!!!