jeudi 12 mars 2009

Google Docs, Sécurité et respect des droits : la possibilité d’une faille est-elle acceptable ?

Comme cela est relaté par exemple dans 01Net, Google Docs partage un peu trop les documents ou dans TechCrunch (en anglais), Google Documents a eu une faille de sécurité. Certains utilisateurs ont pu voir ce que d'autres avaient produit, en dépit des règles de partage et d'accès. Les bugs c'est monnaie courante en informatique c'est vrai, mais ce genre de problème est il grave ou pas ?

Je pense qu'il y a deux enjeux : un est factuel et lié à ce qui a été indument partagé, aux préjudices objectifs. L'autre est plus immatériel, il s'agit du manque de confiance généré par la possibilité d'une faille. Comment en effet au niveau individuel travailler sereinement si le fruit de notre travail risque d'être violé ? Comment accepter du point de vue de l'entreprise que certaines données confidentielles fassent l'objet de fuites ?

Le principe même de l'Entreprise 2.0 est le partage et l'échange de l'information, mais il vaut parce qu'il y a confiance dans les outils et an particulier à une condition expresse : le respect de l'intégrité des données de chacun. Plusieurs DSI de clients de Sinequa, en particulier dans la banque, le conseil et l'administration, ont justement choisi notre solution du fait des garanties qu'elle offre en matière de respect de la sécurité. Inversement, je connais une banque qui avait installé une solution de recherche (je ne dis pas laquelle) pour les répertoires partagés : le premier jour de la mise en ligne, un collaborateur a posé la question « bonus CODIR » obtenant ainsi la liste des bonus des dirigeants…

En matière de sécurité, il faut exiger le risque zéro. Si par exemple la solution de recherche n'est pas conçue pour gérer la sécurité au niveau applicatif et document, si les droits ne sont pas pris en compte au cœur de l'index et mais a posteriori, on est en danger. C'est une des raisons qui a amené Sinequa a développer ses propres connecteurs applicatifs. Si la solution de recherche ne permet pas de rafraichir les droits en permanence en fonction des nouvelles règles (tel qui avait droit n'a plus droit, tel document qui était partagé ne l'est plus…), il y aura toujours un risque de mauvais cas de figure, des périodes pendant lesquelles un utilisateur pourra poser une question et récupérer une information qui ne devait pas lui parvenir…

Personnellement, je pense qu'en matière de risque de non respect des droits d'accès, la possibilité d'une faille n'est pas acceptable. Et vous, quel est votre avis ?

Aucun commentaire:

Enregistrer un commentaire