Si vous avez lu mon livre (je ne saurais trop vous le recommander), vous savez que j’estime que l’informatique périmétrique (celle qui permet de contrôler les entrées et sorties d’un périmètre) est orpheline, à savoir qu’elle est délaissée par les DSI et la doctrine (cf. p 20 à 24). Un récent article du blog cyberland me donne l’occasion d’en reparler.

source.

On lit donc dans ce billet que le moteur de recherche shodan (mentionné également dans mon livre p 102) « recense » tous les dispositifs connectés. Pourquoi pas. Le problème est qu’une bonne partie de ces dispositifs connectés sont peu ou pas protégés. Ce qui donne des situations cocasso-dramatiques comme celles décrites dans cet article.

Oui, et alors, que fait-on maintenant ?

1. s’asseoir et pleurer réunir une commission pour discuter des mesures auxquelles on pourrait éventuellement réfléchir, puis émettre un pavé de recommandations tellement épais que personne ne les lira et donc ne les mettra en œuvre ;
2. réaliser (enfin) que la situation ne peut durer (si vous en doutez, créez un compte sur shodan et comptez le nombre de fois où vous pouvez vous connecter avec admin/admin) et forcer les responsables informatiques à prendre en compte l’informatique périmétrique ;
3. tant qu’à faire, nettoyer la profession des vendeurs de solutions de vidéo-surveillance comme la sécurité privée est en train de l’être via la CNAPS.

Car il en va de la sécurité des entreprises. L’article que j’ai mentionné plus haut cite une pharmacie dont tout le circuit de vidéo surveillance est accessible via le net. Est-elle sécurisée ? Non !

Alors, ne trouvez-vous pas qu’il est temps d’agir avant que le métier de DSI soit ramené à celui de simple directeur du service informatique ?