Ne remplaçons pas les administrateurs systèmes par des avocats.
Par Sylvain Delafoy le lundi, décembre 14 2009, 20:11 - Sautes d'humeur - Lien permanent
Retour tardif sur l'auteur de Zataz n'aurait jamais du en avoir "Plein le cul !" .
Une chose que le monde de la sécurité partage avec le logiciel libre, c'est sa façon de faire.
Il est vrai qu'il y a toujours 2 façons de faire:
- La bonne
- La facile
La version facile est celle qui passe le mieux auprès de beaucoup de gens. Celle qui consiste à dire qu'un bon problème est un problème caché. Après tout, tant qu'on ne parle pas d'un problème, il n'y a rien à craindre.
Exemples:
- La ligne Maginot n'a aucun trou. (et personne ne parle du fait qu'il est plus simple de contourner)
- Les allemands ont des avions? bah ce qui compte vraiment c'est les chars.
- Les japonais n'ont aucun grief envers les états unis aujourd'hui en particulier aujourd'hui le 6 décembre 1941.
- Les prêts hypothécaires sont excellents pour l'économie. etc...
Mais aussi longtemps que l'opinion générale consiste à croire ce genre de choses, ne pas le faire est dangereux. (dans certains cas suicidaires, surtout en politique)
Mais à mon avis, il y a toujours un jour ou les ennemis contournent votre grand mur avec leurs chars, détruisent les vôtres avec leurs avions, ou les envoient s'écraser sur vos bateau... quand ce n'est pas les courbes de l'emploi ou du CAC40.
Voila ce qui aurait pu se passer avec cette entreprise si la personne qui avait découvert ça n'avait pas été aussi bien attentionnée. Un désastre dont elle ne se serait sans doute pas remis avant des années.
L'autre méthode est celle utilisée dans les logiciels libres, dans les entreprises qui font de la sécurité et qui le font bien qui consiste à:
- Remercier la personne qui signale le problème (dans le cas de zataz, c'est fait)
- Corriger le problème (ça arrive souvent, mais pas toujours même après l'étape 1)
- Laisser la personne qui a signalé le problème se faire mousser en publiant le problème. Et le faire, avec le sourire.
P.S.: NE SUIVEZ SURTOUT PAS CES CONSEILS! Parcequ'il ne faut jamais oublier que le client, qu'il soit institutionnel ou non ne raisonnera pas comme ça avant des années. C'est bête à dire, mais les gens préfèrent qu'on leur mente. Et vos amis commerciaux (ou votre boss) vous en voudront beaucoup si vous divulguez ce qui n'allait pas dans votre produit.
