En fonction de leur sensibilité, les projets peuvent être séparés physiquement : certaines zones des plateaux de bureaux sont isolées avec un accès limité aux équipes projet concernées ; ces zones disposent généralement d’un réseau informatique local physiquement dissocié, ou logiquement avec réseau local virtuel (VLAN). Sur le poste de travail, on trouve bien sûr un contrôle d’accès par mot de passe – renouvelé tous les soixante jours chez KPIT Cummins -, mais aussi l’interdiction d’accéder aux droits administrateur, aux ports USB ou ports série.
Une sécurité logique prise au sérieux
L’accès à Internet est généralement très sévèrement filtré, par proxy, de même que l’accès aux systèmes de messagerie. De même que le simple accès au réseau, avec notamment contrôle d’accès par adresse MAC. Les SSII indiennes que nous avons rencontrées ne proposaient que rarement un accès à Internet pour les visiteurs. Concrètement, chez Cap Gemini, à Navi Mumbai, on utilise des réseaux locaux virtuels, des proxys, la virtualisation ; le tout pour isoler les projets les uns des autres et les protéger de l’extérieur. Il faut aussi compter avec le contrôle d’usage sur les postes de travail pour limiter les risques de fuites de données. Autre exemple, chez Reliance Communications, l’accès à Internet est filtré, bloquant la consultation de sites tels que Flickr et YouTube. Chez TCS, nous avons rencontré une situation comparable. Harsh Inaniya, ancien employé d’une société d’externalisation de processus métier installée à Gurgaon, raconte, ci-dessous, son expérience.
Confidentialité : un ancien salarié témoigne
envoyé par LeMagIT
Un système faillible
Mais la série d’attentats qui frappe l’Inde depuis le mois
de juillet dernier place la sécurité sous un éclairage tout particulier. Sur le
plan de la sécurité physique, on apprend ainsi qu’il faudrait quelque 60
MRs pour combler les failles de sécurité des installations d’Electronic City,
cette banlieue de Bangalore qui concentre l’essentiel des entreprises IT de la
ville. Mais seuls 10 % de cette somme ont été réunis entre avril 2007 et
juillet 2008.
La sécurité logique est également concernée. De fait, l’enquête sur les attentats de Bangalore et d’Ahmedabad a permis d’identifier au moins trois anciens salariés du secteur IT parmi les terroristes : Mansoor Asgar Peerbhoy, ancien ingénieur en développement logiciel chez Yahoo ; Mubin Shaikh, ex-conseiller technique d’une entreprise IT dont le nom n’a pas été précisé ; et Tauqueer, ancien salarié de Wipro soupçonné d’être le cerveau des attentats. Des personnes compétentes et apparemment formées au piratage informatique.
Et à cela peuvent enfin venir s'ajouter les soupçons de fuites de données à la Banque Mondiale.
Par in-dou-trois
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur