Lorsque la toute première action d’un nouveau membre est de se ruer sur la fiche d’un éditeur afin d’y publier une appréciation très positive, cela nous fait dresser l’oreille. Mais après tout, même les éditeurs ont le droit d’avoir des fans particulièrement motivés !

Mais lorsque nous recevons quelques heures plus tard un long email du PDG de l’éditeur en question regrettant entre autres choses que sa société ne soit pas mentionnée dans une discussion entre membres, cela nous alerte alors franchement.

C’est la situation à laquelle nous avons été confrontés récemment. Une vérification sommaire de l’adresse IP depuis laquelle le nouveau membre a ouvert son compte dévoile rapidement le pot aux roses : c’est de celle-ci qu’a également été envoyé l’email du patron de l’éditeur.

En nous intéressant d’un peu plus près à la société dont le nouveau membre affirmait être le RSSI, nous découvrons alors que son site web est hébergé sur la même plage IP (et par le même hébergeur) que le site corporate de l’éditeur. Mieux (ou pire, c’est selon) : le site est une vitrine, dont tous les liens en page d’accueil ne mènent nulle part. C’est ici clairement une erreur de validation de notre part.

Nous demandons alors à notre équipe d’hébergement les traces laissées par cette adresse IP durant son exploration de SecurityVibes. Et que pensez-vous que fait un éditeur tout juste entré sur SecurityVibes ? Il recherche d’abord toutes les questions des membres liées à son domaine d’activité et s’en va systématiquement consulter le profil des RSSI qui posent la question. Nous avons bien entendu contacté ces derniers afin de déterminer s’ils ont reçu entre temps un appel des commerciaux de cet éditeur. Ce n’est, pour l’instant, pas le cas.

Il recherche ensuite toutes les occurrences du nom de son principal concurrent (« veille concurrentielle », probablement), puis s’en va publier une évaluation positive sur sa société.

Chaque étape de ce scénario justifie à elle seule notre décision de ne pas autoriser les éditeurs à ouvrir de compte sur SecurityVibes. D’autant plus que nous leurs permettons par ailleurs de publier des communiqués, d’annoncer des événements et de sponsoriser des réponses à travers une interface dédiée, distincte du site principal. Celle-ci ne leur donne pas accès à l’identité des membres ni aux contenu des débats, des questions et des commentaires : ils ne peuvent que déposer du contenu qui sera affiché de manière contextuelle sur SecurityVibes. Ceci afin d’apporter un contenu à valeur ajoutée aux membres (parce que contextuel) tout en bénéficiant d’une visibilité au sein de la communauté. Les revenus ainsi générés servent à financer, notamment, nos Petits-Déjeuners thématiques. Le concurrent l’a très bien compris et n’a pas hésité à jouer le jeu.

L’incident est cependant désormais clos : nous avons pu avoir une discussion avec le PDG de l’éditeur, qui réfute la thèse d’une manipulation et avance qu’il s’agit du RSSI de l’une des sociétés de son groupe, où son produit est déployé. Et si la même IP a été utilisée pour envoyer le courrier et ouvrir le compte sur SecurityVibes, c’est qu’il s’agit d’un accès unique depuis la salle de réunion de l’entreprise où le RSSI est en déplacement (et qui utilise une Freebox plutôt que la connexion corporate).

Quelle que soit la vérité derrière cette affaire, elle nous aura confirmé la nécessité absolue de limiter l’accès à SecurityVibes aux seuls opérationnels de la sécurité (à l’exception – historique et désormais fermée – de quelques profils experts qui apportent une véritable plus-value aux débats de la communauté).

Rappelons également que rien n’interdit à des éditeurs de proposer à leurs clients (vrais) RSSI ou opérationnels sécurité de rejoindre SecurityVibes, bien entendu !

Enfin, terminons sur une note positive : la prochaine évolution de SecurityVibes devrait rendre caduque ces considérations car elle permettra de gérer beaucoup plus finement les droits des membres. Et autorisera notamment chacun à décider qui peut voir quoi de son profil (à l’image d’un Facebook où les amis, les groupes et les différentes communautés peuvent se voir attribuer des autorisations différentes).