Dans la jargon classique de la sécurité des SI, on parle de D.I.C ce qui veut dire :
-Disponiblité
-Intégrité
-Confidentialité
Dans la réglementation des USA on parle de D.I.C.T ... le dernier T signifie la tracablité ... surtout ne croyez pas que au USA c'est pareceque le gouvernement est doué pour le tracking et l'espionage que ca l'interesse de l'integrer dans les principes de la sécurité. Le probleme depasse ce stade . En effet , la non-tracabilité est un risque vu que on est incapable de determiner la resonsabilité de qui et par la suite incapable d'avoir recours à des mesures plliatives ( poursuite judiciaire - voir mon dernier message publié ). L'exemple le plus simple est celui du fameux opérateur télécom francais FranceTelecom. Mohamed ZAIDI , garagiste resident à PESSAC en GIRONDE , ayant perdu son mot de passe a contacté la hotline du FAI déclarer l'incident de son mot de passe oublié. Il recoit aprés quelques jours une lettre de l'operateur , qui normalement et selon la procédure connu, un nouveau mot de pass. A sa surprise M ZAIDI lit le contenu de la lettre :
"Votre nouveau mot de pass est :'salearabe'"
l'operateur reconnais que la lettre lui appartient mais n'arrive toujours pas à decouvrir qui a fait ca ?
« Le courrier, en date du 7 décembre, vient bien de chez nous. C'est quelque chose d'extrêmement choquant, d'inadmissible. Tout le monde est atterré, jusqu'au plus haut niveau de l'entreprise »
ces mots de brigitte Audy , répsonsable régionale de FranceTélecom ne pourrons pas calmer les esprits décus de cette action primitive.
Notre sujet n'est pas vraiment le racisme , mais plutot l'impact de la non-tracabilité aux entreprises. je me demande si c'etait aux USA le problème sera réglé en quelques minutes et l'absence de la tracabilité dans un probleme pareil n'exclue pas la poursuite de l'entreprise pour deux choses:
- Le racisme
- L'absence de mécanisme qui garantie la sécurité de l'information.
pourquoi tout ceci ? tout simplement un problème pareil risque de décrédibiliser l'entreprise et donc non confiance des actionnaires.
aujourd'hui le système d'information est au cœur de l'économie et des affaires , il est donc important de répondre à ces questions d'une manière précise et tracée :
" Qui est qui ? ", " qui fait quoi ? ", " qui accède à quoi ? ", " qui a donné le droit à qui de faire quoi ? "…
cette problématique devient de plus en plus compliquée avec l'ouverture des systèmes d'information aux autres acteurs :
collaborateurs, prestataires, clients, fournisseurs…
d'où vient la nécessité de disposer d'infrastructure fiable pour la gestion des identités. Cette infrastructure est basée sur trois éléments essentiels :
- L'élément de base est avant tout un référentiel qui stocke les composantes de l'identité numérique : des attributs classiques comme le numéro de téléphone ou la fonction, jusqu'à tout élément permettant de caractériser un individu dans l'organisation : département d'appartenance, sites géographiques, bureaux…
- Des solutions de synchronisation complètent cette infrastructure pour garantir l'industrialisation de la mise à jour intelligente des données, calée sur des évènements tels que la création d'une entrée dans le système RH, une mutation, l'affectation d'un téléphone…
- Une infrastructure de gestion des droits d'accès et des habilitations qui vise à concevoir un outil qui permettra de structurer la sécurité du système d'information (SI) autour d'un modèle d'habilitation proche de l'organisation de l'entreprise. Partie intégrante d'une infrastructure de gestion d'identité, elle vient s'appuyer sur le cycle de vie de l'identité pour assurer le provisioning des référentiels utilisateurs des applications du système d'information.
Ainsi avec la mise en place d'une telle infrastructure , toute information est obtenue , modifiée ou manipulé selon un schéma d'habilitation qui garantie la tracabilité et l'auditabilité des actions , des rôles , des responsabilités et surtout de l'information.
Je reviens à dire que si FranceTelecom , le tentaculaire des telecoms , avait instauré une démarché pareille , il aurait évité ce scandale qui va sans doute faire couler plus d'encre et peut être susciter la haine des clients arabes.
Inscription à :
Publier les commentaires (Atom)
Articles
Aucun commentaire:
Enregistrer un commentaire