Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Article mc secus_05_10
1. E X PE RTIS E S
Le manque de rigueur :
une réalité qui concerne
le monde de la sécurité
PAR MICHEL CUSIN,
architecte de sécurité – Bell Lorsque l’on traite un sujet important comme la sécurité informatique (SI),
les informations communiquées doivent être claires et exactes. Il en va
de la sécurité de données sensibles. Le rôle des experts est donc majeur.
Mais le prennent-ils tous au sérieux ?
Lors d’une présentation sur la
SI, j’ai été témoin d’une façon de
«Les professionnels de la sécurité
informatique doivent être vigilants quant
transmettre des informations qui
m’a profondément choqué et déçu.
aux informations qu’ils transmettent.
Le contenu imprécis, le manque de Dans ce domaine, la confiance est
rigueur de l’ expert » et la façon capitale. L’image du milieu doit être forte
« bâclée » de présenter une matière et fiable tout comme celle des métiers
peu étoffée étaient irrespectueux qui le composent. C’est une question
pour l’auditoire. Ce genre de situation
Michel Cusin œuvre dans le
peut arriver dans plusieurs domaines.
de sécurité! »
domaine de la sécurité depuis Malheureusement, la SI n’y échappe renseignements est-il compétent ? Quelle est sa spé-
plus d’une décennie. Il est pas ! cialité ? Quelles sont ses connaissances ? Quelle est
actuellement architecte en Par contre, cette mauvaise son expérience ? Dans le domaine de la SI, il faut, le
sécurité de l’information chez expérience m’a poussé à alerter ceux plus possible, connaître la source et les ressources.
Bell. Dans le passé, il a été
instructeur et consultant en qui sont témoins de situations sem- Être bien informé, c’est une question de sécurité, de
sécurité (secteurs privés et blables, à conscientiser ceux qui réputation et de bon investissement ! Tout le monde
publics). Il détient des certifi- informent de façon inadéquate et à peut s’improviser grand connaisseur et fournir de
cations telles que CISSP GCIH,
, faire, je l’espère, changer un peu les très mauvais conseils.
CEH, OPST, ITIL et plusieurs
autres relatives à divers choses. Le milieu de la SI se doit de
manufacturiers de solutions rassembler des gens compétents. Et SPÉCIALISTES RECHERCHÉS,
de sécurité. Il collabore avec les spécialistes qui souhaitent IMPOSTEURS S’ABSTENIR!
le SANS depuis plusieurs partager des informations perti- Plusieurs seront d’accord avec moi si je dis que
années, notamment à titre
de mentor et d’instructeur. Il nentes doivent le faire judicieuse- certaines personnes manquent parfois de rigueur.
participe également à divers ment et efficacement. Elles peuvent être habiles, voire crédibles, et leur
événements de sécurité J’aimerais donc m’excuser jargon peut impressionner les néophytes. Elles sem-
comme conférencier et auprès de tous ceux et celles qui blent parfois posséder plusieurs connaissances et
organisateur.
seront offensés par cet article. Si le plusieurs réponses sur plusieurs sujets. Posez-leur
chapeau vous fait, c’est une bien alors plusieurs questions !
mauvaise nouvelle pour le milieu de Est-ce que leurs informations sont justes et véri-
la SI ! fiables ? De quelle façon les transmettent-elles ? Quelles
Lorsque quelqu’un reçoit des sont les raisons qui justifient le fait de parler d’un sujet
informations par rapport aux médias donné ? Les détails de leur discours sont-ils solides ?
électroniques, il doit toujours être Leur rhétorique est-elle efficace ? N’oubliez pas qu’avoir
alerte. Celui qui transmet les l’air intelligent n’est pas un gage d’intelligence ! Il n’y
Suite en page 17
Mai 2010 SÉCUS | 16 |
2. Suite de la page 16
«L’ignorance ne protège personne! »
a aucune question idiote. Les réponses, elles, sont parfois depuis plusieurs années qu’il est nécessairement compé-
révélatrices. tent ou qu’il connaît tous les domaines de la SI. Chacun pos-
D’autres « connaisseurs » sont parfois évasifs quant à sède son champ d’expertise.
certains sujets pour de soi-disant raisons de sécurité ou Ce n’est pas parce qu’une tribune s’offre à quelqu’un
parce qu’ils prônent l’approche de « la sécurité par l’obscu- qu’il doit absolument la prendre. Il faut être conscient de la
rité ». Balivernes ! Cette approche inefficace peut s’avérer portée des messages. Si quelqu’un n’a rien à dire, il doit sim-
dangereuse parce qu’elle procure à ceux qui s’y connaissent plement s’abstenir.
moins en SI un faux sentiment de sécurité. Cela dit, elle peut Cependant, si vous avez quelque chose à dire, alors
certainement faire le bonheur de ceux qui savent l’exploiter. faites-le avec vos plus grandes capacités et vos meilleures
Restez informé. connaissances. La communi-
Évidemment, il n’y a rien de mal à avouer que l’on ne
sait pas quelque chose. Prétendre savoir est cependant un
cation est un art accessible. « Il n’y a rien de mal
Outillez-vous. N’inventez pas de à ne pas connaître un
sacrilège, et ce, particulièrement dans le milieu des TI ! Les fausses réponses, ne faites pas
conséquences peuvent être lourdes... du « remplissage » par manque
sujet, mais c’est une
Je m’adresse à tous ceux qui doivent communiquer de contenu. tout autre chose d’en
des informations liées à la SI. Approfondissez votre sujet,
maîtrisez-le et racontez votre expérience concrète. Vous êtes CRITIQUEZ ET DÉNONCEZ
parler malgré tout! »
la valeur ajoutée, alors ajoutez de la valeur à vos propos. Lors Si vous assistez à des présentations, développez ou
d’une conférence, d’une webémission, d’une baladoémission gardez votre sens critique aiguisé. Posez des questions et
ou autre, par respect pour votre auditoire et pour le milieu n’acceptez pas n’importe quelle réponse.
dans lequel vous œuvrez, soyez préparé. Ne relatez pas Si vous êtes un expert de la SI (ou d’un autre
bêtement ce que vous avez trouvé sur Internet lors d’une domaine!), faites honneur à la rigueur lorsque vient le temps
trop brève recherche. Pire. Ne lisez pas une feuille ou un acé- de sensibiliser ou d’informer les gens. Il est crucial de fournir
tate ! Les gens sont parfaitement capables de le faire. Cela des informations justes, de les transmettre de façon
dit, tout le monde n’a pas la même expérience que vous. adéquate et de le faire dans un but respectable.
L’erreur est humaine et pardonnable. Nul n’est parfait.
EXPERTS DANS TOUS LES DOMAINES ? Mais transmettre de l’information de façon « bâclée » ne
Ce n’est pas parce que quelqu’un travaille en sécurité vaut guère mieux que de désinformer.
Mai 2010 SÉCUS | 17 |