|
Stéphane Pacalet
Directeur commercial
Editions Profil
 En savoir plus
|
Le terme "intrusif" est au préalable à définir.
Si on entend par intrusif, le fait d'installer à l'insu de l'utilisateur un système qui renvoie des informations personnelles et/ou non directement liées à la sécurité du système, alors, clairement, ce n'est non seulement pas obligatoire mais c'est même contraire aux objectifs de la sécurité.
Par contre, si on entend par "intrusif" le fait qu'un système soit automatisé, transparent et remonte certains types d'informations spécifiques, cela en toute connaissance de cause pour l'utilisateur et avec la possibilité de le désactiver, alors oui, l'évolution actuelle des menaces, notamment leur vitesse de propagation, rend nécessaire ce genre d'outils pour permettre aux éditeurs de réagir au plus vite.
Apple et Microsoft ont fait preuve d'un certain manque de transparence très criticable...
Que Microsoft veuille lutter contre le piratage de son système d'exploitation, c'est tout à fait légitime. Qu'il le fasse en intégrant un système de contrôle via Windows Update, en laissant croire aux utilisateurs qu'il s'agit d'un correctif de sécurité, l'est beaucoup moins.
Le résultat de cette opération, et de la polémique actuelle, est que désormais certains utilisateurs vont hésiter à faire leurs mises à jour - de Windows ou d'applications diverses - par crainte de ce type de procédés. Nous allons ainsi perdre une partie des résultats obtenus ces dernières années dans l'information du public sur la nécessité de patcher son système.
Dans le cas d'Apple, la situation semble différente. Il est certes anormal que les utilisateurs n'aient pas été informés et que l'installation du Dashboard Advisory se fasse sans accord préalable mais la finalité actuelle de ce système paraît bien être la sécurité de l'utilisateur. Cela ressemble donc plus à une "erreur de communication" qu'à une réelle stratégie de la part d'Apple.
Globalement il faut différencier l'approche pour le grand public et les petites entreprises de celle pour les grandes entreprises disposant de ressources et compétences internes.
Dans le premier cas, un système totalement automatisé et transparent de gestion des patchs correctifs et des différents composants de la sécurité des postes de travail est nécessaire, sous réserve encore une fois que celui-ci reste désactivable, soit connu de l'utilisateur et qu'il ne mélange pas d'autres fonctions non liées à la sécurité.
Dans le second cas, il est préférable d'offrir aux administrateurs réseaux des solutions leur permettant de déployer et d'administrer aisément les correctifs de sécurité que de vouloir assurer leur déploiement à leur place.
De façon générale, aucun système de protection ne peut être efficace sans prendre en compte le facteur humain et donc la nécessité de formation des utilisateurs aux principes de base de la sécurité. Nous avons tous conscience que l'ajout d'options de sécurité dans une voiture - airbag, système de freinage d'urgence, etc - ne remplace pas la vigilance du conducteur et son apprentissage initial. Il en va, et en ira de même en sécurité informatique, quels que soient les systèmes que nous réussirons à mettre en place pour simplifier la tâche des utilisateurs.
|
