La sécurité n'est pas un produit

Bonjour,

Il m’arrive fréquemment de tenter (sans succès) de transmettre l’idée que la sécurité n’est pas un produit mais qu’il faut changer sa façon de faire. Il y a un bon article à ce sujet mais je ne le connais qu’en anglais.

Est-ce que quelqu’un aurait des textes (en français ou en anglais) qui sont lisibles par des personnes non techniques ?

2 « J'aime »

Je pense que c’est la mission de l’ANSSI. Ils fournissent de très bons documents pour les personnes techniques et non techniques.

Voir la section « Bonne pratiques »

Merci pour le pointeur. J’explore https://www.ssi.gouv.fr/administration/bonnes-pratiques/

https://www.ssi.gouv.fr/administration/guide/recommandations-pour-la-securisation-des-sites-web/ a l’air pas mal. C’est assez orienté « comment résoudre un problème » ce que j’aime bien. Mais du coup je me rend compte que j’aurais du préciser un élément de contexte.

Les discussions que j’ai sont en général avec des personnes non techniques qui ne sont pas face à un problème concret. Mais plutôt des personnes qui réalisent qu’elles n’ont pas une bonne hygiène coté sécurité informatique et qui se demandent quel produit « tout en un » elles pourrait aller acheter pour résoudre le problème et l’oublier de nouveau.

Du coup quand j’oriente la discussion sur des éléments concrets ça passe pas trop parce que ça promet d’être un peu fastidieux et c’est pas ce qu’elles cherchent. Et quand je tente une approche plus générale je sens que je les perd dans la stratosphère des concepts: c’est pas non plus ce qu’elles cherchent.

Peut-être que je cherche plus un partage d’expérience sur cette transmission de savoir plutôt que des textes précis ?

1 « J'aime »

J’utilise souvent la métaphore avec le permis de conduire. Aux débuts de l’automobile, tu achetais une auto, tu apprenais vite fait à t’en servir et hop, sur les routes ! Puis on s’est rendu compte que ça créait des accidents, et tandis que les constructeurs faisaient peu à peu évoluer la sécurité de leur véhicules (comme les dev améliorent la sécurité des OS et logiciels), on affinait un permis de conduire dont le but était de garantir la sécurité de tout le monde. Aujourd’hui, si tu veux conduire, tu dois passer au moins une vingtaine d’heures à apprendre tout un tas de trucs sur l’auto et la route (sans parler des assurances, du contrôle technique, etc)… L’informatique, c’est pareil. Certes, on a la machine, mais s’en servir sans formation, c’est comme rouler à gauche et sans ceinture : ça va mal finir. Et c’est là le point important : pour que ce soit sécurisé, il y a certes des choses côté machines (les bons logiciels, etc) mais aussi et surtout… de la formation côté utilisateur. Et de la maintenance régulière !

À partir de là, si tu as réussi à convaincre la personne en face de toi qu’elle allait devoir prendre un peu de temps pour apprendre des bonnes pratiques, le reste devrait rouler :smiley:

Ayant un peu la même problématique, j’ai fini par rédiger mes propres guides pour certaines des personnes que je fréquente, si ça peut aider : https://khaganat.net/wikhan/fr:consignes_securite
C’est évidement à adapter à ton public :slight_smile:

4 « J'aime »