Récemment, j'ai été étonné qu'une "secrétaire médicale" arbore fièrement un sourire niais en prétendant ne pas savoir ce qu'est le RGPD. Peut-être vit-elle dans une grotte, sans internet, sans télé, sans radio ? Et dans son entourage, personne ne l'aurait informée, pas même son employeur ? Tant pis pour lui !
Cette année, le pentest est fait par un nouveau prestataire, Mohamed, un ingénieur spécialiste en hacking informatique aussi performant que sympathique, qui travaille du matin au soir... et du soir au matin, le week-end, car il participe à des compétitions mondiales "cyber" (challenge) avec son équipe de hackers éthiques.
Selon l'expression d'un ami électronicien : "se fier, c'est bien... se méfier, c'est mieux..."
En effet, la théorie, c'est bien... mais les contrôles, c'est mieux ! Car, même quand l'infrastructure informatique est blindée, il est préférable de s'assurer qu'il n'y a pas de fuite...
Il fut une époque (bénie?) où les assureurs remboursaient rapidement les entreprises qui étaient piratées. Et leurs cellules "cyber" négociaient avec les pirates, pour tenter de faire décrypter à moindre frais (rançon moins forte) un serveur ou deux, sur l'ensemble du parc informatique...
J'utilise plusieurs systèmes de protection pour mes sites web, dont certains outils sont de ma conception. On est jamais si bien servi que par soi-même ;-)
Les informations concernant les IP sont des données publiques.
Lors de détection d'une tentative d'intrusion, j'identifie le propriétaire de l'IP concernée et je bloque aussi toutes ses autres IP car, d'une part, les tentatives d'intrusion viennent souvent de plusieurs IP d'une même plage d'IP et, d'autre part, les signalements aux gestionnaires de ces IP sont quasiment toujours inutiles.
Comme dans les soirées VIP, il faut savoir filtrer l'entrée, pour accueillir convenablement les visiteurs corrects.