La responsabilité d'un gestionnaire est de gérer les risques.
Lorsqu'un trou de sécurité entre les scripts a été découvert dans Gmail, cela présentait un risque très critique que l'équipe a rapidement cherché à résoudre. Comme il y a des millions d'utilisateurs de Gmail, si j'écrivais une application Web qui exploitait cette faille, il y aurait de fortes chances que les utilisateurs de mon application Web utilisent Gmail et l'ouvrent dans un autre onglet. Ainsi, en tant que phishing, cela peut valoir la peine de construire une telle application pour accéder aux données des utilisateurs.
La question que votre manager peut se poser est la suivante: quel est le risque de cette faille de sécurité? Quelle est la probabilité qu'une application Web cible ce trou de sécurité particulier sur ce site particulier? Quel est le risque que les employés qui visitent notre site Web utilisent également ce site Web tiers?
D'après mon expérience, si votre site n'obtient pas une tonne de trafic, alors il n'y a pas une tonne de risque.
Votre patron pense peut-être que le coût d'opportunité de ne pas résoudre ce problème de sécurité particulier qui peut ou non être un problème, est qu'il peut plutôt concentrer ses ressources sur des activités qui aideront à développer l'entreprise et à générer des revenus.
Cela dit, il y avait un problème très similaire à celui où Github a été piraté, et il y a une question sur Project Management SE qui couvre ce sujet du point de vue de la gestion de projet. L'utilisateur qui a piraté Github était dans une situation similaire à la vôtre, et ses privilèges Github ont été suspendus pour une période de temps.
Ma question est la suivante: qu'advient-il de votre entreprise si le site tombe en panne? Quelle est la probabilité que vous voyiez même ce trou de sécurité exploité?
Si vous décidez de poursuivre, vous devrez obtenir objectivement des preuves qu'il s'agit d'une menace très réelle et imminente pour la viabilité de l'entreprise.
Voici quelques suggestions pour obtenir des preuves qu'il s'agit d'un vrai problème:
Effectuez des recherches Google à la recherche d'articles de presse, de blogs ou d'autres expériences d'entreprises qui ont rencontré des problèmes majeurs en raison d'une faille de sécurité similaire. Démontrez qu'il s'agit bien d'un risque qui mérite d'être traité au lieu d'autres opportunités commerciales.
Discutez avec d'autres membres du personnel technique de l'équipe et obtenez leur avis. Si le problème est vraiment grave, vous devriez pouvoir trouver d'autres personnes qui peuvent également vous soutenir. Sinon, soit vos préoccupations ne sont pas justifiées, soit vous avez des problèmes majeurs de sécurité dans la culture de votre entreprise.
Discutez d'autres options avec votre service informatique pour colmater le trou qui impliquent des solutions plus rapides qui - bien que non idéales - peuvent atténuer le risque et vous donner une tranquillité d'esprit sans casser la tirelire de l'entreprise. Parfois, une petite quantité de travail peut aider à éliminer une partie du risque, sinon la totalité.
Si les points ci-dessus ne fonctionnent pas, alors je pense à laisser tomber, et je sais que ces problèmes vont juste faire partie intégrante de la gestion des risques de l'entreprise.