Lettre au père Noël d’un RSSI

Comme chaque année, je t’écris pour te demander tout plein de cadeaux, car, tu le sais, j’ai encore été très sage.

Les lutins que tu m’envoies tous les ans sont toujours aussi sympas. Enfin bon, moi je les appelle les lutins, mais ici on les nomme les « commissaires aux comptes ». Ils sont toujours biberonnés à la séparation des privilèges et aux contrôles sur échantillons, je trouve cela cool. Par contre là, faut qu’ils arrêtent les délires, parce que demander à la DSI d’exploiter les traces techniques des logiciels métiers pour vérifier qu’il n’y a pas de bug dans la gestion des habilitations, le DSI commence à rire très très jaune.

Par contre, si j’osais, je te demanderais bien un microchouilla truc concernant les smartphones. Dans un excellent épisode(1) de SecHebdo du Comptoir sécu, j’ai appris que la reconnaissance faciale du dernier iPhone (qui finira par s’étendre à tous les modèles et à tous les constructeurs) permet, entre autres, de pister si quelqu’un est en train de regarder par-dessus l’épaule de l’utilisateur, par exemple dans le métro, afin d’avertir ce dernier d’un espionnage possible. Bon, OK sur le principe, je comprends, sauf que dans le même temps le logiciel de reconnaissance faciale saura aller piocher sur les sites communautaires pour identifier l’indélicat, et là, ça va devenir pas drôle du tout. Dans un métro bondé, il va falloir m’expliquer ce que je fais pendant cinq ou dix stations : je ne peux déjà pas regarder mes pieds (si le métro est bondé on ne les voit pas), si je lève les yeux un peu plus haut, je risque de tomber sur le décolleté de ma voisine (et depuis l’affaire Harvey Weinstein, c’est hyper-risqué), maintenant si je regarde devant moi, je vais tomber sur un smartphone et je risque une accusation d’espionnage. À part regarder le plafond – en risquant de passer pour un illuminé et me retrouver entre quatre murs capitonnés –, je n’ai pas beaucoup de solutions : les trajets vont être douloureux pour la nuque et sembler bien longs. 

Bon, sinon le RGPD c’était sympa de ta part, on va pouvoir serrer le kiki à quelques charlots dans le métier (et comme disait Einstein, il n’existe que deux choses infinies en ce monde, l’univers et la bêtise humaine… mais pour l’univers, il n’y a pas de certitude absolue). J’attends surtout avec l’impatience d’un gamin devant le sapin le moment où les maîtrises d’ouvrage devront signer formellement les appréciations des risques, cela promet quelques moments très drôles. Et il y a certains fournisseurs, par exemple dans le biomédical, qui n’ont pas encore compris qu’ils étaient sous-traitants de traitement de données personnelles, je te jure !

Gros bisous père Noël.

Ton RSSI qui t’aime.

!1) https://www.comptoirsecu.fr/sechebdo/sechebdo-29-novembre-2017/