J'avais lutté en interne de [grande entreprise française] pour que les mots de passe soient moins restrictifs. Ils avaient une politique chiante de 12 caractères, majuscule, minuscule, caractère spécial, changement tous les 6 mois, ne jamais réutiliser un ancien pass… du coup les employés notaient leurs mots de passe sur un post-it pour ne pas les oublier. J'étais sûr que sans ces restrictions et en les éduquant aux passphrases, ce comportement disparatrait et la sécurité augmenterait.
Un jour, quelqu'un d'étranger à l'entreprise est rentré dans les locaux, s'est connecté à la machine d'une collègue en utilisant le pass sur un post-it, et a volé un export de toutes les données clients. Ça a coûté énormément à l'entreprise en relations publiques et pénalités diverses.
C'est donc logiquement que cette histoire arrive à la conclusion où j'ai pu monter une réunion avec le RSSI en invitant toute la direction pour leur présenter le xkcd 936, afin de leur expliquer pourquoi on préférait moins de restrictions sur les caractères et une meilleure éducation des employés sur la sécurité et les bons mots de passe.
J'aurais raconté cette histoire dans un monde cohérent, moins hiérarchisé, moins gérontocrate. Dans notre monde, le RSSI a été viré pour la "faute grave" d'avoir été en poste pendant cette fuite de données, et la direction ne m'a pas écouté. Ça ne m'a pas donné envie de continuer à gérer leur run tout pourri, donc je me suis cassé ailleurs.