L’ANSI à la limite de la paranoïa !
Drôle de communiqué que celui envoyé par l’Agence nationale de sécurité
informatique (ANSI) et appelant à la prudence et à la prise de disposition
de sécurité physique.
Si les communiqués de l’agence ont toujours été considérés comme efficaces
et regorgeant d’informations très utiles (ce qui est leur rôle en somme), force est de constater que le
dernier est exceptionnel et frise tout simplement la paranoïa.
«La sécurité physique est l’une des bases essentielles de la sécurité des
systèmes d’information», titre le communiqué de l’ANSI en question. On
s’attendait à ce qu’on évoque des problèmes liés à la sécurité physique des
ordinateurs, mais il en est autrement, puisque l’ANSI piétinait sur les
platebandes d’agences de gardiennage et de sécurité (dans le sens policier
du terme).
Quatre points essentiels pour protéger la sécurité physique à votre système
d’Information, recense le communiqué :
1- Formaliser l’accueil à l’entreprise : Tout accès devra être conditionné
par la fourniture d’une pièce d’identité (dont les références devraient être
prélevées) ET en ayant vérifié avec la personne sa conscience et
acceptation de cette visite.
S’il est indéniable que la personne à visiter doit donner son aval, on ne
voit vraiment pas ce que la conscience a à voir là dedans. Sur la carte
d’identité, de plus en plus d’administrations (pour ne pas dire toutes)
l’exigent, mais faut-il rappeler que cette exigence est moralement
inacceptable ? Pourquoi une hôtesse d’accueil ou un gardien d’une entreprise
quelconque connaîtraient-ils mon adresse, ma date de naissance et toutes les
informations personnelles contenues dans ma pièce d’identité ? Que l’on
cherche à garantir la sécurité de l’entreprise, c’est une excellente chose,
mais celle du visiteur (client, visiteur étranger, fournisseur, partenaire)
qui va l’assurer au cas où l’on perdrait sa carte d’identité ? L’ANSI ne
semble pas se préoccuper de ce point a priori.
Comme si elle dictait ses règles, l’ANSI recommande que les visiteurs
laissent leurs sacs à l’accueil, surtout pour les personnes accédant à la
zone du centre de calcul ! Autrement dit, le visiteur doit laisser son
ordinateur portable, ses affaires et dossiers à l’accueil à la bonne grâce
de cette hôtesse d’accueil ! Sauf si l’ANSI parle de sacs comportant des
affaires ramenées du marché central situé juste à côté de son département,
et là les conseils restent valables uniquement à la rue d’Angleterre et non
ailleurs au Parc technologique ou aux Berges du Lac !
Deuxième recommandation : les badges. Ceci est incontestable tout comme les
conseils qui viennent ensuite et recommandant de sensibiliser les employés
aux «intrusions» (le terme est inadéquat, mais passons) et de ne pas hésiter
à interroger une personne inconnue croisée dans les locaux, afin de
connaître l’objet de sa visite.
Là où la paranoïa est à son top (ce qui nous a inspiré pour cet article),
c’est quand l’ANSI déclare que la méfiance devra être de règle, surtout pour
le personnel d’exploitation des centres de calcul ! Le communiqué évoque
même le cas d’un portable «délaissé» renfermant une matière explosive à
l’étranger (on n’indique pas où, c’est peut-être dans un film étranger) !
C’est ce terme de «méfiance de règle» qui nous interpelle, car une méfiance
de règle interdit tout rapport de confiance entre des professionnels venus
travailler ! Serait-on d’éventuels hackers, pirates, voleurs, voire
terroristes sauf si l’on prouve le contraire ? Doit-on voir cela en tout
visiteur ? Cela frise tout simplement le ridicule !
Dans son troisième conseil, l’ANSI recommande l’achat de broyeurs de
documents parce qu’il arrive que l’on trouve dans les corbeilles à papiers
des objets dangereux tels (tenez-vous bien) … des fiches de paie et des
dessins d’architecture !
On espère que l’ANSI renouvelle bientôt ses habitudes de nous fournir (comme
il lui est demandé) des conseils relatifs à la sécurité tout court et à
l’intrusion des ordinateurs ou des virus, car les procédures contenues dans
son dernier communiqué sont dignes d’un pays en état d’alerte ! Même aux
Etats-Unis, post 11 septembre, ces procédures ne sont valables que dans
certaines administrations (type Pentagone). Les autres se contentant de
mettre en place des détecteurs de métaux, de scanners d’objets et de simple
vérification de la pièce d’identité (généralement une carte professionnelle)
!
R.B.H.
|