🐧 Darks' 📷 is a user on mastodon.xyz. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.
🐧 Darks' 📷 @Darks
Follow

Hey Masto, j'ai besoin d'un avis technique. On étudie la sensibilité des cadres à la sécurité de leur environnement numérique, et on comprends pas trop pourquoi le domicile est à ce point considéré comme non-sûr. Des avis ?
Repouets appréciés 🤗

Maybe @TheForeignAgent @devnull @aeris @thomas ?

· Web · 7 · 1

@Darks @thomas @aeris @devnull @TheForeignAgent
Peut-être que les personnes ayant répondu se sentent moins en sécurité parce que chez eux, ils pensent leur connexion plus facile à pirater / leurs données plus accessibles ?
Il suffit d'oublier de se déconnecter d'un truc pro pour que ton enfant y accède par exemple (si ordi familial partagé)

@Colunadoc Ouais enfin ça demande de manipuler de la donnée sur son PC familial, je ne sais pas si c'est courant comme pratique. Pour moi, en général t'utilise à minima un PC perso, quand c'est pas celui fourni par la boite.
Ceci dit y'a peut-être le fait que tu penses être à l'abri et donc fait pas gaffe, contrairement au hall de gare où là tu passe direct par un VPN et consort.

@Darks @TheForeignAgent @devnull @aeris @thomas Simple effet numérique ? 66,67 %, ça fait juste deux tiers, ça tombe trop juste pour être honnête.

On n'a interrogé que trois personnes ? :-)

@bortzmeyer On a une trentaine de réponses (pour le moment), à priori venant de secteurs différents et assez larges. Ça fait peu, mais 2/3 c'est une tendance qui continue à chaque fois qu'on a des réponses en plus.

Le lien du sondage si y'en a qui veulent répondre 😋
framaforms.org/securite-de-len

@Darks @bortzmeyer La dernière question (l'effort entre 0 et 10) est super étrange… On parle d'effort à cause de la difficulté de la chose, de la flemme qu'on peut avoir de le faire (même si facile), de la résistance du management ? Il peut y avoir tellement de causes diverses :/

@milouse @bortzmeyer Ça peut être un mix des trois. Quand on a fait le questionnaire, on pensait surtout au niveau de flemme global : faut s'investir pour apprendre, et pour mettre en pratique.
Je reconnais qu'on a complètement zappé l'aspect inertie du management, mais à la question si y'a déjà eu de la sensibilisation y'a qu'un gus qui a répondu non, donc j'en déduis que c'est surtout du PEBKAC

@Darks Peut-étre un excès de confiance dans les équipement de « sécurité » déployés en entreprise?

Après bon, le réseau domestique de la plupart des gens une passoire et leurs PC windows avec pleins de logiciels tipiak font probablement parti de 3 botnets… Donc ils ont pas forcément tord.

Puis chez toi, t'as pas l'esclave qui passe 5 heures à nettoyer tes 500 virus…

@TheForeignAgent @aeris @thomas

@devnull
Passoire, passoire, je sais pas mais en général c'est pas un réseau ouvert aux 4 vents…
Ceci dit ouais, faut voir l'état des machines familiales pourries par du W$ infecté de spyware x)

@Darks Ah bah si. Pas de parefeu confoguré sur ton réseau = passoire

@devnull C'est vrai que par défaut y'a pas ça sur les box. J'ai plus l'habitude des réseaux à deux balles… >_<

@Darks Y en a qui pensent que NAT = sécurité donc bon…

@Artanux
Dans quel sens ? Je veux dire, un gamin va (pour moi) pas copier tes données du boulot sur une clé pour les revendre au black x)
Alors que le type qui est dans le TGV qui va pisser sans verrouiller sa session, il est juste inconscient (j'ai déjà vu ça…)

@Darks @Artanux je crois que le mot c'est "inconscient" et donc dans ton formulaire il n'en tiendra pas compte

@Dam_ned @Artanux C'est sûr qu'on a orienté le truc essentiellement sur le ressenti, pas sur ce qui est fait en pratique. Pour ça y'a déjà les rapports de l'ANSII ^^

@Darks C'était un peu ironique. Mais j'imagine très bien faire des conneries en travaillant si j'ai des enfant qui jouent/se disputent derrière moi.

C'est marrant que les gens se sentent plus en sécurité dans une gare, sur un wifi public...

@Artanux Comme ça a été évoqué, y'a peut-être une sorte d'abus de confiance dans les outils du pôle info en mobilité…

@Darks @TheForeignAgent @devnull @aeris @thomas Parce que dans les autres environnements, ils partent de l'idée (pas forcément juste) que c'est géré par des pros, donc sécurisé. Alors que chez eux, ils savent ce qy'ils ont fait ou pas, et en connaissent les limites.

@Darks

Je dirais que c'est parce que la plupart des répondants pensent qu'au bureau ou dans un espace public le réseau est géré par des professionnels alors que chez eux ils ont juste branché la box du FAI et pige rien au reste.

@Torrone (Abus de ?) confiance dans les outils/services du pôle info par rapport à chez soi où y'a personne pour dire quoi faire ?

@Darks

C'est ce que je pense.
J'ai souvent vu ce type de réaction en entreprise en tout cas.

@Darks

je plussoie @NuitsDeChine @Torrone : chez soi, un utilisateur lambda a juste branché son PC sur sa box et rien fait d'autre pour la sécurité
au boulot il y a un pro qui y a touché, c'est certainement + sur

sauf si bien sur tu n'as pas confiance dans les informaticiens de ta boite, genre parce qu'ils sont au siège a Paris et que les PC sont sous windows-meme-pas-10-mais-avec-IE

@Darks
TLDR tous les commentaires, parce que contrairement au boulot, y a pas des professionnels qui s'en occupe, il n'y pas les procédures, les équipements...
@TheForeignAgent @devnull @aeris @thomas

@GuyMarty C'est beau la théorie… avec les professionnels incompétents et les procédures que personne ne respecte (et surtout pas les gens haut placés)

@thomas @aeris @TheForeignAgent @Darks

@devnull
L'utilisateur VIP est la plaie du SI d'une organisation.
Pour le reste, à mon boulot, les professionnels (les personnes en charge du SI et de sa sécurité) sont plutôt compétents ; les procédures sont globalement respectées et il y en a plus que chez moi.
@Darks @TheForeignAgent @aeris @thomas

@GuyMarty À priori, j'ai plus confiance en réseau que je contrôle et qui doit remplir certains critères en terme de matériel, logiciel, FAI… qu'en un réseau d'entreprise by agrumes telecom, avec du matos choisi par un vieux encravaté pas tech, et configuré par des gus qui n'auront pas de problème à déployer les produits de boites dont le business consiste à faire passer des spywares pour des outils de sécurité…

@thomas @aeris @TheForeignAgent @Darks

@Darks @TheForeignAgent @devnull @aeris @thomas peut être parce que l'on a de plus en plus de données perso numériques chez sois
Elle qu'elles pourraient être considérées plus sensibles que ses données pro ?

@joo Je pensais que les gens n'avaient « rien à cacher »… Il faudrai qu'ils se décident…

@thomas @aeris @TheForeignAgent @Darks

@Darks @devnull @aeris @thomas

Tout l'environnement numérique est géré par un seul acteur (le FAI) qui est non-fiable au possible et l'a démontré à de nombreuses reprises ? Juste une hypothèse.

@Darks C'est pour illustrer les propos de Bruce Schneier ? 🤔

@Darks @thomas @aeris @devnull @TheForeignAgent parce que à leur boulot, s'ils ont un soucis, ils peuvent se retourner vers plus compétent qu'eux ? (DSI...)

Au final cela traduirait plutôt une méconnaissance voire des incompétences à savoir gérer correctement la sécurité de son réseau informatique à domicile...

(Toutes réserves gardées sur la méthodologie et les résultats de l'enquête, bien sûr)

@Aisyk DSI compétente ? Mouais… 😂

Peut-être dans certaines structures mais c'est pas la normes. La compétence (quand elle est présente) se trouve plutôt chez les équipes techniques, pas chez les cravatteux qui décident quoi acheter à qui et pourquoi faire… La DSI c'est rarement des profils techniques hein. C'est des gus sortis d'écoles de commerce/management pour qui informatique = microsoft

@Darks @thomas @aeris @TheForeignAgent

@devnull @Aisyk Mais heuuuu 😥
Je fais déjà un stage dedans, j'epère ne pas être dans cette catégorie

@Darks Si t'es dans le domaine, j'en conclue que tes connaissances en informatique ne se limitent pas à ce qu'on te raconte à l'école. C'est un gros avantage sur *la plupart* des gens dans le commerce/management. T'as les moyens de ne pas tomber dans le travers « C'est focément fiable et sécurisé-blindé si c'est vendu très cher et/ou par une multinationale. » et autre « Cravatteux haut placé = compétent, c'est forcément la fôte du pousse-boutons en tshirt ».

@Aisyk

@devnull @Darks @thomas @aeris @TheForeignAgent
Il y a aussi des ingénieurs pour qui informatique = microsoft...

@Aisyk J'ai pas non plus dit que tous les techos étaient forcément compétents, loin de là…

Après, régurgiter par cœur ce qu'ils ont mémoriser pour acheter leurs bac + 5 aux écoles « partenaires de microsoft », sans être capables de se connecter 2 neurones, ne fait pas d'eux des ingés, même si c'est que dit leurs fiche de poste…

@Darks @thomas @aeris @TheForeignAgent

@devnull @Aisyk @Darks @aeris Il y a sécurité et sentiment de sécurité. Les gens ont probablement davantage confiance au travail parce qu'on leur dit que des gens se chargent de la sécurité de leur infrastructure informatique, et puisqu'ils n'y connaissent rien ou en tout cas pas grand chose, ils font confiance, surtout quand les gens en face prétendent savoir.

@devnull @Aisyk @Darks @aeris Sans compter le fait que les gens chargés de la sécurité de l'infrastructure informatique sont *payés*, employés pour ça, ça renforce leur street cred face aux jeunes qui comprennent parfois bien mieux l'informatique mais pour lesquels les compétences ne sont pas reconnues dans le domaine professionel par un salaire…

@devnull @Aisyk @Darks @aeris Et puis même pour les gens qui s'y connaissent, faut se pencher sur l'infrastructure, et au moins dans ce genre de milieux, plus on connaît, plus on voit les failles, et moins on se sent en sécurité. Chez soi, on est responsable de son matériel, on se doit donc de connaître un minimum. Au travail, osef, on n'est pas responsables puisqu'il y a des gens qui sont chargés de ça.

(normalement c'est à peu près tout)

@thomas En partie d'accord.

Il y a aussi en effet la croyance qui si le gus y travaille, c'est que forcément il s'y connait et maitrise… avec une abstraction sur le fait que même une personne compétente peut se faire mettre des batons dans les roues par les cravatteux et/ou les prestataires et/ou des collegues techs incompétents. Parce qu'il faut haire vite fait mal fait « pour faire des économies »/« c'est urgent »

@Aisyk @Darks @aeris

@thomas > Chez soi, on est responsable de son matériel, on se doit donc de connaître un minimum.

Ou pas! Enfait, l'extrême majorité des gens s'en tapent totalement. Au moins ils assument s'en foutre, ce qui va faciliter l'argumentaire pour défendre une interdiction de BYOD et/ou d'accès ai réseau pro depuis le domicile des gens. Au pire ils se prétendent experts en sécurité parce que « Mon antivirus bloque tout »

@Aisyk @Darks @aeris

@Aisyk Mais oui, y a une part de « Si ça merde, on saura sur qui taper ». Exactement le même raisonnement que « $GrosseEntreprise c'est plus fiable que des gus dans un garage qui bidouille des trucs d'amateurs pas sérieux »… Sauf que quand ça merde par la faute d'un presta ou d'un responsable $TitreBullshitPompeux, il y a personne parmi les adeptes de punching ball qui ose ouvrir son clapet.

@Darks @thomas @aeris @TheForeignAgent