La nouvelle vient de tomber : VeriSign aurait été la cible d'intrusions répétées mais l'information n'est pas remontée au management. On peut évidemment se dire "whaoou ça craint un max pour un acteur de ce calibre", surtout quand on sait que celui-ci opére certains des serveurs DNS racines Internet... Faut-il jeter la pierre le 1er ? Personnellement, non.
slurps plus
Remonter les incidents de sécurité à son management est un moyen efficace pour lui faire comprendre que la sécurité n'est pas un jeu. Encore trop de responsables pensent que les attaques ne les concernent pas et qu'ils ne seront jamais concernés : dépenser de l'argent pour améliorer la sécurité de ses systèmes est donc inutile.
Mon expérience montre qu'un "bon coup de bambou dans les genoux" permet de secouer le mammouth endormi et de lui remettre la vérité toute crue devant les yeux. Si le management a "eu mal" à cause d'une intrusion, il aura tendance à écouter les personnes de la sécurité car elles avaient raison (bien sûr il n'en laissera rien voir, fierté oblige).
slurps moins
Remonter un incident de sécurité c'est parfois la galère : car assez souvent on se retrouve tout seul à gérer le problème. Autrement dit, c'est celui qui remonte le problème qui doit faire le ménage après. La raison est que, dans beaucoup de sociétés, les personnes compétentes capables de gérer une intrusion sont rares.
Au-delà de la gestion de l'incident en tant que tel (dans cette phase le management est motivé), quand on passe aux actions de fond (genre il faut lancer un audit de code ou revoir des processus métiers) alors il y a moins de monde qui se bouscule au portillon... Normal, l'urgence est passée à autre chose et le management n'est plus aussi intéressé.
Jean François