Kitetoa-Bla-Bla

[ Page d'accueil | Sommaire | Recherche | Nouveau | Répondre | Suivant | Précédent | Remonter ]


Repost : Réflexions sur la Sécurité avec un grand S

De: DaJoss
Date: 03 Jul 2001
Time: 13:40:04
Remote Name: 195.68.79.228

Commentaires

Beau débat sur la forme mais qui manque un peu de fond... Ne trouvez vous pas étrange que tous les grands prestataires et groupes se fassent épingler les uns après les autres sans aucune distinction... pensez vous qu'il ne s'agit que de hasards ou de l'incompétence de quelques un à virer sur le champ... (C'est beau le progrès social) ?

Je pense qu'il ne faut pas se tromper d'ennemis ; si tous sont touchés c'est que le problème doit être un peu plus large que de simples erreurs de recrutement sachant que les sites montrés du doigt ici ne sont a n'en pas douter que la partie émergée de l'iceberg (vous pensez bien que si une banque en ligne est mal protégée alors qu'elle est sécuritaire jusqu'à la paranoïa, le site de la PME X doit être une vraie passoire)

Au risque de me faire lapider, je pense qu'il serait bon de loucher vers la politique de développement, de formations, d'encadrement et de prise en compte de la sécurité des prestas. Un recruteur compétent devrait pouvoir embaucher des gens compétents, un CE compétent devrait pouvoir savoir si son équipe est compétente, un directeur de compte devrait pouvoir évaluer le niveau de la prestation délivrée, un commercial connaitre la valeur réelle du développeur qu'il vends... J'éspère que c'est toujours le cas, mais je n'en suis pas vraiment sûr.

En simplifiant un peu et selon la loi des 80/20 (paretto pour les intimes) la finition de 20% d'un projet (disons la phase sécurisation) représente 80% du temps dudit projet et normallement par la même 80% du coût (et vice versa). Quelle boite acceptera de payer la facture des 80% ? Si on regarde un planning projet, la phase de sécurisation des accès et du reste est généralement à la toute fin en plein coup de bourre, patît du dépassement des autres parties et ne représente jamais et je dis bien jamais 80% du temps de developpement, ni 70% ni même 50%. Si tout ces éléments peuvent constituer une explication, ils ne sont en rien une excuse et on a parfois l'impression en effet que l'avarice le dispute à l'incompétence. Je rappelle pour mémoire et histoire d'avoir un ordre de grandeur que les prestataires facturent des montants journaliers pour leurs experts qui sont parfois égaux à plusieurs fois le smic (Pas de haine, je suis plutot partisan d'un nivellement par le haut).

La sécurité est un argument commercial de plus a faire valoir lors d'un appel d'offre, on vends et on achète une image de la sécurité (et 20ans d'expérience feront toujours la différence) en se dédouannant au passage des responsabilité sur le prestataire qui de son coté gère le risque sécuritaire comme une assurance ou un constructeur automobile (Cf Fight club : Taux de pannes ou d'attaques * Montant des commisions versés <> Cout d'une sécurité réelle). Pour le client, le calcul est à mon avis vite fait. Qu'est qui coute le plus cher ? Une vraie sécurité expertisée, auditée, surveillée et mise à jour ou une campagne de communication pour disculper publiquement toute rumeur de fuite, d'infiltration et d'insécurité. J'en tiens pour exemple la stratégie du GIE Carte Bleue... édifiant.

En terme de séurité et de professionalisme on en revient au vieil axiome, le singe préfère la voiture rouge Ce qui permet de boucler la boucle client fournisseur utilisateur et sécurité en se disant que pour le moment le marché a choisi une sécurité avec un klaxon, plutot qu'avec des freins...

DaJoss


Dernière modification : 03 July 2001