• [^] # Re: C'est mieux que dans les hôpitaux

    Posté par . En réponse au journal Médecin, secret médical et TeamViewer. Évalué à 5. Dernière modification le 29 octobre 2019 à 17:05.

    On est d'accord, l'entreprise ne peut pas (ne devrait pas) lui demander de gérer seule les x passwords professionnels. En fait je voulais surtout répondre à "C'est mieux que dans les hôpitaux" avec un exemple tout aussi mauvais dans le privé. Par contre il y a quand même au moins une méthode plus simple et plus sécurisée pour l'employée : mettre les post-it ailleurs que sous les yeux des clients. Un ptit cahier dans son tiroir par exemple. C'est toujours mauvais mais c'est "moins pire".
    Le vrai scandale c'est que personne de l'entreprise ne le lui ait dit. Le gars qui vient réparer le bourrage de l'imprimante, son supérieur, quelqu'un d'autre qu'un client quoi.
    L'autre soucis, c'est que la "sécurité simple" je pense qu'on ne sait toujours pas faire (y compris les personnes responsables). Soit c'est simple et foireux (prénom comme mot de passe), soit c'est sécurisé et trop compliqué (règles absconses genre 28 caractères dont 2 voyelles de l'alphabet cyrillique qui entraînent fatalement les mots de passe sur post-it). Ça va mieux avec la généralisation de l'authent à 2 facteurs et la multiplication des gestionnaires de mots de passe mais encore faut-il réussir à concilier ça avec les usages en entreprise, que ça fonctionne avec les 3 logiciels métiers et la messagerie, etc...

    Bref la sécurité c'est compliqué et je n'en veux pas à ceux qui veulent juste faire leur taff sans avoir à lutter contre les outils. Mais le constat reste le même : y'a des trous béants dans toutes les organisations.

    Dernier exemple : En 2017, "des pirates ont pu mettre la main sur les noms, les dates de naissance et le numéro d’assurance sociale de plus de 145 millions d’Américains" clients de Equifax (leader mondial en évaluation de la cote de crédit, 3 milliards de dollars de chiffre d'affaires annuel). Aujourd'hui on sait qu'en fait les identifiants du portail d'accès au données étaient {user : admin , password : admin}

    Voilà voilà...