About security policy @ school

Salut'

Un petit billet pour tenter de décrire et dénoncer le peu de considération qu'un organisme comme un lycée (dont les fonds viennent du conseil régional) accorde à la sécurité de leurs systèmes d'informations.

Un système d'information d'une taille dépassant le cadre d'un petit LAN, (> 150) machines dont la plupart sont reliés à Internet.
La majorité des postes sont équipé d'un antivirus, Kaspersky 6.0, mis à jour quelquefois, quand l'utilisateur ne l'empêche pas, par chance le SP2 de XP est installé, couplé à IE7 (!) et Acrobat Reader 7.0.

Tout irait bien, à part une chose : la moitié du réseau est infectée par VBS_RESULOWS.A , visible à chaque présentation d'un prof avec un IE titré "Hacked by Godzilla".
Chaque élève qui branchent sa clef USB permet d'infecter un peu plus de machine avec ce Vers obsolète, sauf si un antivirus fait barrage, heuresement que depuis le temps tout les AV le détectent.

Mais, qui assure la maintenance des machines ?

Pas grand monde : un prof de physique, dépassé par les événement et un technicien envoyé de temps en temps par le conseil régional, reconnaissable à sa barbe, sa chevelure abondante et son jogging mal repassé.
Je ne leur jette pas la pierre, il serait difficile d'assurer une politique de sécurité si les utilisateurs ne jouent pas le jeu.

Un bon point cependant, le CDI, qui contraste grandement avec le reste du réseau, une dizaine de PC, relié en switch vers Internet, protégé par IACA, des comptes méga limité, bourré de restrictions, IE7 et log des activités.

Quels sont les conséquences ? Une instabilité des machines, des réinstallations à faire, de l'argent pour des produits non-mis à jour, dépensé pour rien ...

Au final, tout le monde est perdant, la direction, le corps enseignant, les élèves, mais ça fait depuis tellement longtemps que ça fonctionne ainsi, pourquoi tout chambouler ?