Mesures de prévention relatives à la messagerie électronique

Le CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) propose une page de sensibilisation à la sécurité des échanges par le courriel, qu’il me semble utile de relayer dans l’IZ :

http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/index.html

Le propos est intéressant et méritait d’être tenu ; c’est néanmoins très imparfait, hélas.

Ce qui est positif :

• la page se veut destinée aux utilisateurs finaux aux fins de sensibilisation et de prise de responsabilité de chaque acteur, ce qui est de très bon sens
• la source "noble" me fait imaginer qu’on peut l’user d’autorité : si un membre de l’équipe de votre EPLE fait l’andouille avec le courriel, vous pourrez de manière plus ou moins comminatoire lui enjoindre la lecture de cette page, avant de d’entamer un dialogue plus constructif sur les pratiques de sécurité concrète à adopter.

Ce qui ne va pas :

• dites à un utilisateur final standard en EPLE la chose suivante, je vous garantis un bon fou-rire :

  Toujours ouvrir une pièce jointe avec un éditeur de texte

Toute pièce jointe doit être systématiquement ouverte en premier avec un éditeur de texte (par exemple, bloc-note). Ainsi vous pouvez contrôler l’action d’un script en étudiant son code.

• il n’est fait aucune mention de la très prophylactique mise à jour des logiciels courrielleurs ou navigateurs
• à aucun moment la question de l’usage des messageries personnelles depuis les postes de travail n’est évoquée, alors que in concreto c’est la source majeure des enquiquinements
• la page elle-même ne fait pas l’objet d’une révision régulière : 2001 puis 2009, c’est un peu sec...

Bref, si ce document est un peu à côté de sa cible désignée, il va dans le bon sens, chaque gestionnaire ayant connaissance de trous de sécurité béants dans son établissement peut s’en saisir. En attendant qu’un contributeur de l’IZ ait entrepris de le refaire en entier...