La sensibilisation, ce n’est pas que : Ne cliquez pas sur n’importe quoi (même si cela reste vrai) !
Lorsque j’étais technicien d’infogérance ou admin système, j’intervenais chez des clients du domaine médical. 🏥
Lors des interventions nous avions nécessairement besoin de circuler dans les locaux.
D’un ordi de l’accueil à la salle serveur, d’une baie réseau à un bureau et ainsi de suite.
En repensant à ces interventions, je me suis rendu compte qu’il m’est arrivé beaucoup fois ou j’échangeais avec une personne de l’accueil pour me présenter et informer que j’intervenais et c’est tout.
Je circulais comme je voulais.
Pour les infogérances régulières, avec le temps on connaît le personnel et le personnel nous connaît.
Mais dans des cas de dépannage, d’interventions ponctuelles ou chez de nouveau client, on ne connaît personne. À part un contact qui nous indique le lieu d’intervention au mieux.
Et pendant ces interventions j’ai eu d’innombrable occasion d’avoir accès à des ordinateurs non verrouillés et donc des données sensibles. Si j’avais été malintentionné, j’étais servi sur un plateau (intrusion de malware, vol ou destruction de données…)
C’est également le cas dans les entreprises bien que la circulation d’inconnu soit plus “repérable” que dans le médical.
Car le médical c’est un environnement ou tout le monde se croise dans les couloirs : médecins, infirmier(e)s, secrétaires, patients, ambulanciers… On passe plus facilement inaperçu.
Néanmoins, il est important de sensibiliser les utilisateurs à ce type de risque. Au même titre que le phishing ou les mots de passe.
👉🏼 Lorsque l’on n’est pas devant le poste celui-ci doit être verrouillé.
👉🏼 Il ne faut pas laisser des identifiants sur des post-it 😱 etc…
👉🏼 Surveiller qui circule dans les locaux (sans faire la police pour autant).
C’est également important de la part de la direction de prévoir une gestion des accès. Afin que les collaborateurs aient les bonnes infos et bon réflexes.
👉🏼 Les personnes extérieures à l’entreprise / établissement doivent être gérées.
C’est-à-dire, contrôlée à l’entrée ou alors maîtriser leurs déplacements et les zones qui leur sont accessibles.
La sécurité de l’informatique et des données n’est pas gérée qu’avec des logiciels.