Bonjour,
> J'ai reçu une réponse du Ministère de la culture!
Il doit y avoir des gens qui finissent de dépiler les messages
en souffrance lors des périodes d'astreinte de fin d'année.
> > Les règles de sécurité pour les outils de messageries ministérielles,
> > nous demandent de rejetés les mails cryptés et signés par PGP.
Joli.
> En gros, "on fait comme ça parce qu'on fait comme ça". Je n'ai pas le
> courage d'aller plus loin... Cette réponse est pour moi le signe d'une
> organisation où les gens ne comprennent pas ce qu'ils font, n'osent rien
> changer de peur de se faire engueuler, et n'ont rien à gagner à en
> parler autour d'eux puisque les autres sont dans la même situation.
C'est le plus probable. Faire bouger une grosse organisation pour améliorer
la sécurité informatique n'est jamais une sinécure et le sujet est le plus
souvent mal compris.
Ce n'est pas comme si des documents comme le Référentiel général de sécurité
existait ou même que GnuPG ait été certifié (en version pour MS Windows qui
plus est) qui pose souci ; tant que les gens ne sont pas forcés
ils ne feront vraisemblablement rien (et rien ne dit non plus qu'il le fassent
correctement le jour où...).
> Plutôt désespérant.
C'est la quintessence de la sécurité informatique ! :-/
A+
RGS :
[
http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifs-du-rgs-v1-0.html ]
Listes des produits certifiés (on y trouve aussi iptables) :
[
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/ ]
--
Xavier Belanger
