Sécurité IT : Gartner critique les consignes du gouvernement US
Les instances fédérales doivent signaler dans l’heure tout incident de
sécurité. Pur exercice de relations publiques, selon des experts IT.
Le cabinet d’études IT Gartner rejette le renforcement des règles de sécurité relatives aux instances gouvernementales américaines. Des mesures qu’il considère comme un « exercice de relations publiques? face aux incidents très controversés survenus récemment.
En mai dernier, des cambrioleurs se sont introduits au domicile d’un employé travaillant pour la Veterans Authority et ont emporté un ordinateur portable contenant des informations confidentielles sur 26,5 millions de vétérans et de personnel militaire. Après avoir remis la main sur le portable en juin, les autorités ont assuré que les données n’avaient pas été consultées.
Au cours du même mois de mai, un responsable du recrutement de l’Internal Revenue Service (Services fiscaux du gouvernement fédéral) a égaré un portable contenant des informations sur 291 employés et candidats de l’agence. Dans les deux cas, les propriétaires des portables n’avaient pas pris le soin de crypter leurs données.
L’US Office of Management and Budget a publié une note la semaine dernière exigeant des instances fédérales qu’elles signalent dans l’heure tout incident de sécurité auprès de l’organisme US-CERT (US Computer Emergency Readiness Team).
Les instances gouvernementales avaient jusqu’à présent l’obligation de signaler simplement les accès non-autorisés dans l’heure suivant l’intrusion. Conformément aux règlements, elles avaient jusqu’à une semaine pour signaler les incidents liés à « une utilisation inappropriée », telles que les données non cryptées enregistrées sur les ordinateurs portables ou les PC personnels. Selon Gartner, ces nouvelles mesures ne feront qu’empêcher les articles de presse embarrassants de faire surface avant que les autorités n’en soient informées.
« Gartner pense que les termes ‘utilisation inappropriée’ sont trop ambigus en ce sens qu’ils se rapportent à des informations personnelles et que l’Office of Management and Budget ou le National Institute of Standards and Technology devraient fournir davantage de directives dans ce domaine. » ont déclaré John Pescator and Jay Hei ser, analystes chez Gartner. « Un compte-rendu d’incidents plus efficace et plus rapide n’améliorera que très légèrement les statistiques, sauf si les instances gouvernementales décident de réaménager de manière drastique leurs processus de réponse aux incidents. »
Traduction d’un article de Vnunet.com en date du 20 juillet 2006