Li Li et des pbs d'admin chez Valeo

Le
Varuna
Bonjour,



J'ai deux principes de base pour ce qui concerne la sécurité des accès aux
fichiers :



a.. les droits et permissions accordés aux utilisateurs matérialisent le
réseau de confiances qui existe dans le monde réel de l'entreprise,
b.. l'absence de ces droits et permissions matérialise le secret.


Le service informatique doit donc posséder les bonnes informations venant de
responsables des services pour pouvoir matérialiser la matrice de confiance
du service au niveau du matériel et des fichiers.



Autrement dit, un des jobs de l'administrateur est de faire exister, dans
les machines et dans l'accès aux données, les mêmes règles qui existent sur
le plan humain dans l'entreprise.



La sécurité au sein d'un groupe sensible comme Valeo exige que le service
informatique soit capable de gérer les autorisations d'accès aux fichiers
pour faire en sorte que - par exemple - la stagiaire dans le service X
n'aient pas accès aux données sensibles du service Y. C'est un minimum. En
générale, les recommandations verbales et les clauses de confidentialité
dans les contrats sont insuffisantes puisque les employés, stagiaires
compris, sont contraints de réussir dans des situations où le respect du
règlement les condamne à l'inefficacité. D'où système-D français avec toute
son ambiguïté du « pas vu pas pris ».



Le grand public a trouvé plausible le portrait de Li Li en « Mata Hari
chinoise » car le scénario est à la fois simple et plausible. Mais ce qui
paraît simple et plausible à l'imagination du lecteur de Libé, n'est
curieusement pas prévu à la direction informatique de Valeo. Et pourtant, c'est
justement là où ce qui est simple et plausible devrait être traité comme
possible ou probable - en un mot - un risque et - dans le cas précis - un
risque assez flagrant. Ce que l'enfant a compris assez facilement (« Maman,
faut plus que t'amènes ton Ipod au bureau, on pourra t'envoyer en tôle,)
échapperait aux services informatiques de Valeo ?



Que se passe donc chez l'équipementier ? Qu'a-t-on fait des permissions,
autorisations, accès et droits tout le B,A BA de l'administration des
utilisateurs et de groupes, tout ce qu'on apprend dans sa première semaine
de formation à l'administration des réseaux ?



Comment se fait-il que le système de sécurité n'a pas empêché Li Li de
sortir de l'espace qui lui était nécessaire et suffisante pour effectuer son
travail ? Si les systèmes de sécurité existent, c'est bel et bien pour que l'on
s'en serve et parce que tout le monde sait pertinemment que les clauses de
confidentialité ne feront jamais l'affaire toutes seules.



On apprend par la presse qu'elle aurait effacé des "données
confidentielles". Du point de vue informatique, elle en avait donc les
droits. Pourquoi ? Qu'elle se baladait "trop souvent" avec son portable. Si
c'était interdit, une seule fois c'est déjà de trop. Si on la laissé faire,
elle aurait pu très bien comprendre que c'était toléré. Ne pas matérialiser
l'interdiction, (par réprimande ou sanction) c'est déjà une tolérance. Son
responsable de stage chez Valeo est-il intervenu ? A-t-elle eue un
avertissement ?



Qu'elle aurait branché un disque dur portable sur son poste ? C'est encore
qu'elle en avait le droit. Pourquoi l'avoir permis si c'est interdit ? C'est
dire que les ports USB n'étaient pas condamnés par l'administrateur. Quelle
est la politique - réelle et effective - sur l'utilisation des disques durs
portables chez Valeo ? A-t-on compris que des mini-disques se vendent pour
presque rien depuis des mois dans les supermarchés hi-tech en Asie, dans les
duty-free et maintenant à Paris? Que leurs capacités de stockage (80 et 200
Go) sont plus fortes que beaucoup de postes de travail. Et que si une
stagiaire trouve qu'elle n'a pas assez de place pour travailler sur le poste
qu'on lui a attribué, qu'elle peut en faire assez facilement en déplaçant le
contenu du disque dur vers son lecteur portable. Sans pour autant être une
espionne.



Tout peut être autorisé ou interdit mais c'est le métier de l'administrateur
sous la responsabilité du directeur informatique. En lisant la presse, c'est
à demander si le simple stagiaire lambda arrivant chez Valeo ne se trouve
pas dotés de droits d'administration ! Ou peut être Valeo est une de ces
entreprises où les utilisateurs partagent le même nom et le même mot de
passe ? En tout cas, si Li Li avait accès aux documents confidentiels qui n'avait
rien à voir avec son stage et qu'elle avait - sur le plan informatique - le
droit de les effacer, la matrice de confiance réelle n'était plus en phase
avec matrice des droits et permissions mise en place au niveau de l'informatique.



Une autre question saute à la figure : avant de passer ce poste de travail à
Li Li, qu'a-t-on fait du travail confidentiel de l'utilisateur précédent ?
Classement et suppression de fichiers - ou pas ? Si personne n'a « fait le
ménage », de quel droit peut-on lui reprocher de l'avoir fait ?



Tout un tas de bonnes questions de base qu'un administrateur de base doit se
poser. Vous l'avez sans doute compris, je trouve qu'on s'interroge beaucoup
sur le rôle de Li Li dans cette affaire et pas assez sur le rôle du service
informatique de Valeo.



Si, chez Valeo, tout est interdit mais en même temps tout est possible et
toléré, comment voulez-vous qu'un stagiaire ordinaire s'y retrouve ? Et
comment voulez-vous qu'une stagiaire venant d'une culture si différent du
nôtre se retrouve dans le système-D français sans se planter ?



On nous apprend aussi qu'elle aurait passé « trop de temps à son poste ».
Pourquoi l'administrateur n'a pas mis ce poste sur surveillance pour
constituer des preuves ? Techniquement il est très facile d'observer un
poste depuis un autre. Cela aurait pris moins de temps que les 53 jours que
les enquêteurs ont passé à scruter ses disques, 53 jour qu'une personne
présumée innocente et de bonne foi a passé en détention préventive . pendant
ses études. Et cela aurait permis à Valeo d'avoir l'air moins ridicule.



L'impression qu'on retient des déclarations à la presse, est que Valeo ne
dispose d'aucun système ni pour détecter à priori ni pour empêcher le vol
des informations confidentielles par des stagiaires ou le personnel. De
plus, si un voleur disposait d'une planque pour stocker les données, au lieu
de les garder bêtement dans sa chambre, que Valeo ne disposerait d'aucun
mécanisme de preuve pour étayer ses accusations.



Je ne suppose pas que Valeo va remercier Li Li d'être venue travailler chez
eux, mais je pense que - grâce à elle - un certain nombre de faiblesses dans
le fonctionnement du service informatique ont remonté à la surface. A eux
maintenant de savoir s'ils veulent en tirer des leçons.







Varuna
Vos réponses
Trier par : date / pertinence
Michaël THIBAUT
Le #10753
Bonsoir,

Tout ceci me semble être une analyse bien simpliciste de la situation

Comme si un simple YAKAFOKON ou une administration dictatoriale pouvait
empêcher l'espionnage industriel.

Le seul point que je t'accorde, c'est que beaucoup d'entreprises francaises
sont mal ou peu préparé à ce pillage en rêgle.

Dans 9 cas sur 10, "la porte d'entrée" est humaine et non technique. Et ceci
souvent à cause d'une sécurité trop lourde.

Je te citerais le cas d'une grande entreprise dans laquelle j'avais éffectué
un audit: La politique de renouvellement des mot de passe était tellement,
que les utilisateurs travaillant sur des domaines vitaux de l'entreprise se
voyait attribué toutes les deux semaines un password complexe de 14
caractères (ex: j6Gn@'fM°sBj4s8). Moralité, pas un utilisateur n'arrivait à
mémoriser son password !! Résultat des courses, PDA, Clé USB,Post It, tout y
passait pour y stocker les fameux mot de passe. Un jeu d'enfant pour une
personne mal intentionnée.

Tu l'auras compris, la sécurité n'est pas un blockaus ! mais une série de
choix, de compromis acceptables compris et acceptés de tous. On ne fait pas
de la sécurité contre les utilisateurs mais avec ...
--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc


"Varuna" 42bef14b$0$1241$
Bonjour,



J'ai deux principes de base pour ce qui concerne la sécurité des accès aux
fichiers :



a.. les droits et permissions accordés aux utilisateurs matérialisent le
réseau de confiances qui existe dans le monde réel de l'entreprise,
b.. l'absence de ces droits et permissions matérialise le secret.


Le service informatique doit donc posséder les bonnes informations venant
de responsables des services pour pouvoir matérialiser la matrice de
confiance du service au niveau du matériel et des fichiers.



Autrement dit, un des jobs de l'administrateur est de faire exister, dans
les machines et dans l'accès aux données, les mêmes règles qui existent
sur le plan humain dans l'entreprise.



La sécurité au sein d'un groupe sensible comme Valeo exige que le service
informatique soit capable de gérer les autorisations d'accès aux fichiers
pour faire en sorte que - par exemple - la stagiaire dans le service X
n'aient pas accès aux données sensibles du service Y. C'est un minimum. En
générale, les recommandations verbales et les clauses de confidentialité
dans les contrats sont insuffisantes puisque les employés, stagiaires
compris, sont contraints de réussir dans des situations où le respect du
règlement les condamne à l'inefficacité. D'où système-D français avec
toute son ambiguïté du « pas vu pas pris ».



Le grand public a trouvé plausible le portrait de Li Li en « Mata Hari
chinoise » car le scénario est à la fois simple et plausible. Mais ce qui
paraît simple et plausible à l'imagination du lecteur de Libé, n'est
curieusement pas prévu à la direction informatique de Valeo. Et pourtant,
c'est justement là où ce qui est simple et plausible devrait être traité
comme possible ou probable - en un mot - un risque et - dans le cas
précis - un risque assez flagrant. Ce que l'enfant a compris assez
facilement (« Maman, faut plus que t'amènes ton Ipod au bureau, on pourra
t'envoyer en tôle,) échapperait aux services informatiques de Valeo ?



Que se passe donc chez l'équipementier ? Qu'a-t-on fait des permissions,
autorisations, accès et droits ... tout le B,A BA de l'administration des
utilisateurs et de groupes, tout ce qu'on apprend dans sa première semaine
de formation à l'administration des réseaux ?



Comment se fait-il que le système de sécurité n'a pas empêché Li Li de
sortir de l'espace qui lui était nécessaire et suffisante pour effectuer
son travail ? Si les systèmes de sécurité existent, c'est bel et bien pour
que l'on s'en serve et parce que tout le monde sait pertinemment que les
clauses de confidentialité ne feront jamais l'affaire toutes seules.



On apprend par la presse qu'elle aurait effacé des "données
confidentielles". Du point de vue informatique, elle en avait donc les
droits. Pourquoi ? Qu'elle se baladait "trop souvent" avec son portable.
Si c'était interdit, une seule fois c'est déjà de trop. Si on la laissé
faire, elle aurait pu très bien comprendre que c'était toléré. Ne pas
matérialiser l'interdiction, (par réprimande ou sanction) c'est déjà une
tolérance. Son responsable de stage chez Valeo est-il intervenu ? A-t-elle
eue un avertissement ?



Qu'elle aurait branché un disque dur portable sur son poste ? C'est encore
qu'elle en avait le droit. Pourquoi l'avoir permis si c'est interdit ?
C'est dire que les ports USB n'étaient pas condamnés par l'administrateur.
Quelle est la politique - réelle et effective - sur l'utilisation des
disques durs portables chez Valeo ? A-t-on compris que des mini-disques
se vendent pour presque rien depuis des mois dans les supermarchés hi-tech
en Asie, dans les duty-free et maintenant à Paris? Que leurs capacités de
stockage (80 et 200 Go) sont plus fortes que beaucoup de postes de
travail. Et que si une stagiaire trouve qu'elle n'a pas assez de place
pour travailler sur le poste qu'on lui a attribué, qu'elle peut en faire
assez facilement en déplaçant le contenu du disque dur vers son lecteur
portable. Sans pour autant être une espionne.



Tout peut être autorisé ou interdit mais c'est le métier de
l'administrateur sous la responsabilité du directeur informatique. En
lisant la presse, c'est à demander si le simple stagiaire lambda arrivant
chez Valeo ne se trouve pas dotés de droits d'administration ! Ou peut
être Valeo est une de ces entreprises où les utilisateurs partagent le
même nom et le même mot de passe ? En tout cas, si Li Li avait accès aux
documents confidentiels qui n'avait rien à voir avec son stage et qu'elle
avait - sur le plan informatique - le droit de les effacer, la matrice de
confiance réelle n'était plus en phase avec matrice des droits et
permissions mise en place au niveau de l'informatique.



Une autre question saute à la figure : avant de passer ce poste de travail
à Li Li, qu'a-t-on fait du travail confidentiel de l'utilisateur précédent
? Classement et suppression de fichiers - ou pas ? Si personne n'a « fait
le ménage », de quel droit peut-on lui reprocher de l'avoir fait ?



Tout un tas de bonnes questions de base qu'un administrateur de base doit
se poser. Vous l'avez sans doute compris, je trouve qu'on s'interroge
beaucoup sur le rôle de Li Li dans cette affaire et pas assez sur le rôle
du service informatique de Valeo.



Si, chez Valeo, tout est interdit mais en même temps tout est possible et
toléré, comment voulez-vous qu'un stagiaire ordinaire s'y retrouve ? Et
comment voulez-vous qu'une stagiaire venant d'une culture si différent du
nôtre se retrouve dans le système-D français sans se planter ?



On nous apprend aussi qu'elle aurait passé « trop de temps à son poste ».
Pourquoi l'administrateur n'a pas mis ce poste sur surveillance pour
constituer des preuves ? Techniquement il est très facile d'observer un
poste depuis un autre. Cela aurait pris moins de temps que les 53 jours
que les enquêteurs ont passé à scruter ses disques, 53 jour qu'une
personne présumée innocente et de bonne foi a passé en détention
préventive . pendant ses études. Et cela aurait permis à Valeo d'avoir
l'air moins ridicule.



L'impression qu'on retient des déclarations à la presse, est que Valeo ne
dispose d'aucun système ni pour détecter à priori ni pour empêcher le vol
des informations confidentielles par des stagiaires ou le personnel. De
plus, si un voleur disposait d'une planque pour stocker les données, au
lieu de les garder bêtement dans sa chambre, que Valeo ne disposerait
d'aucun mécanisme de preuve pour étayer ses accusations.



Je ne suppose pas que Valeo va remercier Li Li d'être venue travailler
chez eux, mais je pense que - grâce à elle - un certain nombre de
faiblesses dans le fonctionnement du service informatique ont remonté à
la surface. A eux maintenant de savoir s'ils veulent en tirer des leçons.







Varuna




Publicité
Poster une réponse
Anonyme