Le contrôle des accès, sa complexité et ses zones d’ombre
Nombre de collaborateurs requièrent et jouissent d’accès privilégiés à des données critiques de leur entreprise pour accomplir leur travail. Ainsi par exemple les gérants de fortune qui doivent pouvoir conseiller leurs clients ou encore le personnel des départements de recherche & développement qui doivent visualiser et saisir des expériences et autres prototypes. Les personnes exerçant ces professions sont naturellement sensibles à la confidentialité des informations auxquelles elles peuvent accéder – cela fait partie de leur métier. La tâche de gérer qui peut accéder à quelles données et sous quelles conditions ne cesse cependant de se complexifier car l’information numérique est particulièrement liquide, parce que les points d’entrée et les intervenants se multiplient et parce que la virtualisation dissociant infrastructures physiques et logiques ajoute encore une couche de complexité – on n’ose à peine penser au cloud computing!
Zones d’ombre
Par ailleurs, l’attention portée par les responsables sécurité à tous ces aspects conduit fréquemment à une certaine négligence vis-à-vis d’autres collaborateurs jouissant d’accès particulièrement étendus: les informaticiens eux-mêmes. Premiers concernés, les administrateurs IT qui disposent de larges droits sur les bases de données, sur les applicatifs et sur les infrastructures et dont les pratiques ne sont pas toujours exemplaires, voire parfois risquées. Seconds concernés, les développeurs qui requièrent des données vraisemblables pour tester leurs logiciels. Là aussi, de nombreuses sociétés utilisent de façon imprudente des données de production avec des dangers certains – la mésaventure de HSBC est là pour le confirmer.