Zerosquare (./24) :

flanker (./2884) :
Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.

Tu peux partir du principe que la présence des gens "kisiconnaissent" est un impondérable, et donc qu'il ne faut faire confiance à personne, et absolument tout verrouiller. C'est un bon moyen pour avoir une entreprise où on coche bien toutes les cases sur la feuille Excel, où ce qui se fait normalement en 5 minutes prend une semaine, et dont tous les gens motivés finissent par se barrer parce qu'on les empêche de travailler dans de bonnes conditions.

Bin non, il ne faut pas tout verrouiller : ne pas être admin de son poste ne veut pas dire que tu n'as pas les outils nécessaires pour travailler.

Et au final, tu te mangeras une attaque informatique quand même, parce que le dév (qui n'avait pas les droits d'admin) a laissé un serveur ouvert aux quatre vents avec le mot de passe par défaut.
Ou parce que les mises à jour de sécurité n'ont pas été faites depuis perpète, parce qu'il faut 3 mois pour que la moindre modif soit validée.
Ou parce qu'un manager a laissé traîner son portable avec des données en clair dessus (et comme il est manager, personne n'a osé lui faire remarquer).
Je n'invente rien, tous les mois il y a une news sur une grosse boîte qui se fait avoir de cette façon.

Quand le réseau se fait complètement défoncer, c'est que le problème ne vient pas des utilisateurs avec un simple accès bureautique mais de ceux qui ont des accès privilégiés. Et comme toujours, la SSI est un tout. En effet, ça ne sert à rien de blinder les postes utilisateurs si tu n'as pas un minimum de rigueur sur les serveurs, mais inversement, ça ne sert à rien de blinder les serveurs si les postes de travail ne sont pas blindés.

Ou alors, tu peux considérer que le gars "kisiconnait" n'a pas sa place dans l'entreprise. Ne pas lui avoir donné les droits admin a peut-être empêché la catastrophe cette fois-ci, mais s'il s'est laissé avoir par un phishing basique, ça en dit long sur sa compétence en matière de sécurité informatique. Du coup :
1) ce n'est probablement pas la première fois qu'il fait ce genre de bourde, donc tout ce à quoi il a(vait) accès devient suspect
2) il faut se demander pourquoi/comment il est arrivé en poste

Le (spear)phishing, ça marche. Pas forcément du premier coup, mais ça marche et *avec tout le monde*. Penser qu'on est au-dessus de ça parce qu'on sait ne pas cliquer sur le spam grossier est une mauvaise démarche. Les métiers où tu n'as jamais le moindre lien ou la moindre pièce jointe sont quand même extrêmement rares.