flanker (./36) :Justement, c'est peut-être rare dans le contexte où tu travailles, mais ça n'est pas le cas partout.
Après, je suis d'accord qu'il y a quelques rares cas où être admin de son poste est nécessaire, mais c'est normalement rare et tu peux toujours limiter (limitations réseaux, validation du passage en sudo, etc.)
Brunni citait la R&D, et c'est un bon exemple. L'un de mes clients est une boîte qu'on peut classer parmi les "gros comptes", et qui applique ce type de stratégie de sécurité. Sur le papier, ils n'ont pas besoin d'un indépendant comme moi : soit ils ont déjà les compétences en interne, soit ils ont les moyens de les recruter.
Pourtant ça fait plusieurs années qu'on travaille ensemble. Pourquoi ? L'une des raisons est que si par exemple, ils ont besoin de tester/évaluer/comparer plusieurs solutions concurrentes pour faire un choix, ils peuvent :
a) - essayer de convaincre le(s) supérieur(s) d'obtenir les ressources humaines et financières pour ça
- essayer de convaincre le service info qu'ils ont besoin d'installer des périphériques et applis ultra spécifiques, juste pour un test
- essayer de convaincre le service sécurité que, promis, tout le monde va faire attention à ne pas s'électrocuter avec du 5 volts
- essayer de convaincre le service achats que oui, ils ont réellement besoin d'acheter le même type de produit auprès de plusieurs fournisseurs différents (qui sont pas forcément dans la liste des fournisseurs approuvés), et que non, ça vaut pas la peine de perdre du temps à essayer de gratter quelques euros à ce stade
- etc.
- dans le meilleur des cas, si personne ne met son veto ou ne traîne les pieds, que la pile de paperasse est faite, et que le vent souffle dans le bon sens, envisager de commencer à travailler concrètement sur le sujet au bout de 2 mois (estimation optimiste : ce n'est pas rare de voir des projets décalés de 6 mois, un an, ou plus).
ou b) me payer une presta pour que je bosse efficacement de mon côté, et que je leur livre le résultat en 2 semaines.
Alors évidemment, moi ça me dérange pas, au contraire (
). Mais quand même, quand on y réfléchit, c'est paradoxal.Il faut être conscient que la sécurité info n'est que l'une des multiples contraintes que doit gérer une entreprise et que ces contraintes peuvent être incompatibles entre elles. Qu'en pratique, tout le monde doit faire des compromis, et accepter des risques/inconvénients qu'on préférerait éviter. Que vouloir se prémunir de tout à tout prix avec une armure lourde, c'est aussi le risque de se faire dépasser par un concurrent qui sera moins protégé mais plus rapide que toi.
Après on peut dire "moi je suis DSI, mon boulot c'est de tout faire pour assurer la sécurité info, le reste c'est pas mon problème", mais ce n'est pas une attitude constructive et ça ne fait que cacher le problème sous le tapis.