flanker (./25) :
Bin non, il ne faut pas tout verrouiller : ne pas être admin de son poste ne veut pas dire que tu n'as pas les outils nécessaires pour travailler.

Pour une secrétaire, probablement pas, en effet.

Pour un dév... ça peut peut-être marcher dans une grosse boîte si chaque dév a un domaine d'intervention bien défini à l'avance, et que le service info a pris le temps de tout bien lui configurer aux petits oignons. Dès que tu as besoin d'un minimum de polyvalence et de réactivité, ce n'est pas viable en pratique (à moins de considérer que c'est OK de gaspiller une semaine de productivité à attendre une autorisation pour faire quelque chose qui prend 5 minutes, autorisation qui ne te sera probablement même pas accordée parce que le service concerné n'aura pas envie de s'embêter pour si peu : déjà vécu). C'est ça que Brunni, Folco et moi essayons de t'expliquer.

flanker (./25) :
Le (spear)phishing, ça marche. Pas forcément du premier coup, mais ça marche et *avec tout le monde*. Penser qu'on est au-dessus de ça parce qu'on sait ne pas cliquer sur le spam grossier est une mauvaise démarche. Les métiers où tu n'as jamais le moindre lien ou la moindre pièce jointe sont quand même extrêmement rares.

Encore une fois, personne ne dit qu'il faut tourner avec les droits admin tout le temps. La question est de pouvoir les obtenir quand tu en as besoin.

Quand aux attaques ciblées, effectivement ça existe et c'est bien de s'en préoccuper, mais c'est le sommet de l'iceberg. Quand on voit comment de grandes entreprises se font avoir, c'est bien plus souvent à cause de bourdes basiques (que toute leur sécurité lourde n'a pas empêché) qu'à cause d'attaques élaborées.