Fadest (./2882) :
Il suffit de voir les résultats des tests des campagnes de phishing organisés par les grandes entreprises, y compris dans des ESN (avec donc un public majoritairement de devs qui sont censés être sensibilisés)
Tu veux parler de ces entreprises qu'on surnomme affectueusement "marchands de viande", et qui embauchent n'importe quel jeune diplômé du moment qu'ils ont un client à qui le fourguer comme "expert" ?
flanker (./2884) :
Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.
Tu peux partir du principe que la présence des gens "kisiconnaissent" est un impondérable, et donc qu'il ne faut faire confiance à personne, et absolument tout verrouiller. C'est un bon moyen pour avoir une entreprise où on coche bien toutes les cases sur la feuille Excel, où ce qui se fait normalement en 5 minutes prend une semaine, et dont tous les gens motivés finissent par se barrer parce qu'on les empêche de travailler dans de bonnes conditions.
Et au final, tu te mangeras une attaque informatique quand même, parce que le dév (qui n'avait pas les droits d'admin) a laissé un serveur ouvert aux quatre vents avec le mot de passe par défaut.
Ou parce que les mises à jour de sécurité n'ont pas été faites depuis perpète, parce qu'il faut 3 mois pour que la moindre modif soit validée.
Ou parce qu'un manager a laissé traîner son portable avec des données en clair dessus (et comme il est manager, personne n'a osé lui faire remarquer).
Je n'invente rien, tous les mois il y a une news sur une grosse boîte qui se fait avoir de cette façon.
Ou alors, tu peux considérer que le gars "kisiconnait" n'a pas sa place dans l'entreprise. Ne pas lui avoir donné les droits admin a peut-être empêché la catastrophe cette fois-ci, mais s'il s'est laissé avoir par un phishing basique, ça en dit long sur sa compétence en matière de sécurité informatique. Du coup :
1) ce n'est probablement pas la première fois qu'il fait ce genre de bourde, donc tout ce à quoi il a(vait) accès devient suspect
2) il faut se demander pourquoi/comment il est arrivé en poste
TL;DR : "trust no one" vs. "trust, but verify".