Intrapole
VOUS  TES ICI : Accueil » Intrapole »

Les pratiques qui minent la sécurité informatique

Avant d’être victimes des pirates, nombre d’entreprises le sont plutôt de l’absence de gestion de leur sécurité. L’inconscience ou la méconnaissance des astuces élémentaires leur font souvent plus de mal que les hackers chevronnés. Sur le terrain, les consultants spécialisés sont confrontés quotidiennement aux mauvaises pratiques. Dans ce guide, ils vous les dévoilent... pour ne pas les reproduire.

Des précautions élémentaires avant toute chose

La majorité des incidents de sécurité proviennent d’un petit nombre de mauvaises pratiques bien connues.
Les PME sont particulièrement désarmées face aux nouvelles menaces virales : elles pensent qu’il suffit d’avoir un antivirus pour être protégées, et se reposent sur cette fausse certitude.

Elles en sont restées à l’image des virus d’antan. Les codes malicieux exploitent maintenant des failles du système d’exploitation afin de s’introduire dans les machines par le biais du réseau. Hélas, l’antivirus contrôle, lui, des fichiers, des disques durs, des documents, mais pas les accès réseau. Il ne détecte donc une telle infection que lorsqu’il est trop tard, lorsque le ver a déjà infecté le système.
Face à ces menaces, la bonne pratique est de suivre une politique stricte d’application des correctifs de sécurité sur les systèmes et de les protéger par un coupe-feu, que celui-ci soit sur les postes de travail ou sur le réseau.
Mais ce sont là des pratiques que les PME ont du mal à faire entrer dans leurs moeurs.

Ajoutons que beaucoup d’entre elles n’ont pas encore pris l’habitude d’une mise à jour automatique, par manque de confiance, ou d’une connexion permanente à Internet, et l’on comprend mieux les infections à répétition

Sophie Pietremont (Symantec)

Le mot de passe, coupable tout désigné

La gestion des mots de passe, ou plutôt leur non-gestion, est la première cause d’incidents de sécurité. Mal choisis ou même laissés par défaut, les mots de passe sont le point faible d’un grand nombre d’entreprises, mais pas seulement …

Conserver le contrôle sur ses prestataires

Même si l’entreprise n’externalise pas totalement sa sécurité, de nombreux prestataires extérieurs participent malgré tout au processus de sécurisation. Et il vaut mieux savoir comment cela se passe en coulisses.

Le point essentiel est de savoir si le contrat donne la possibilité d’effectuer des audits. Si ce n’est pas le cas, il faut la négocier. Attention, certains prestataires ont accepté les audits en contrepartie de très fortes contraintes, comme se réserver le droit de refuser l’auditeur choisi. Il faut ensuite demander s’il existe une politique de sécurité chez le prestataire, et si elle est effectivement suivie au niveau opérationnel.
Et peut-être est-ce une bonne idée de demander à consulter les documents concernés. Il s’agit parfois d’une simple feuille, jamais mise à jour et trop sommaire !

Enfin, si les équipements sont mutualisés, il est nécessaire de s’assurer que le prestataire offre des garanties d’opacité vis-à-vis des autres clients ainsi qu’un minimum de garanties quant à la disponibilité des solutions.

Marc Blet (Intrinsec)

La sécurité sortie de la boîte

La simplicité d’installation des outils informatiques fait souvent oublier qu’ils doivent être configurés. Car les réglages par défaut laissent souvent des portes grandes ouvertes. Le souci d’un vendeur d’ordinateurs, c’est assurer que l’ordinateur s’allume et qu’il est utilisable. La sécurité du système n’est pas de son ressort, mais rares sont ceux qui l’avoueraient.
Avant et après l’acquisition des systèmes, les conseils d’un spécialiste en sécurité sont indispensables.

Le temporaire qui mine la sécurité

Locaux supplémentaires en attendant un déménagement, configuration provisoire durant l’installation d’une application : les solutions temporaires génèrent des risques. Méfiance !

Des sauvegardes mal administrées

De bonnes sauvegardes sont l’assurance de pouvoir reprendre l’activité au plus vite après un accident majeur. Mais rares sont les entreprises à s’être vraiment penchées sur le problème. Il a été constaté un florilège des erreurs de sauvegarde.

La mauvaise configuration des outils Internet

Faciles à installer, parfois même pré installés, les serveurs Web, les caches et autres serveurs de noms sont rapidement opérationnels, mais fragilisés quand ils sont configurés par les vendeurs ou par un personnel non sensibilisé aux risques de sécurité.

Loéc Cuguen (Idealx)-Olivier Person (Lorans SA)

Le piège des développements maison

Il n’est pas rare que l’entreprise privilégie un développement interne pour limiter ses coûts. Mais les développeurs sont-ils conscients des risques liés à la sécurité ? Trop rarement. Dans les cahiers des charges remis aux développeurs, il est rarement fait état de sécurité. Ce n’est pas un hasard si 80% des applications développées en interne comportent des trous de sécurité.

Stéphane Fermigier (Nuxeo)

Le sans fil c’est beau mais …

Les équipements sans fils sont pratiques, mais ils peuvent aussi se révéler dangereux. Attention surtout aux déploiements sauvages de bornes wi-fi.

Ces collaborateurs qui ne partent jamais

Entre les départs, les stagiaires et les intervenants extérieurs, beaucoup de monde dispose d’un compte… qui n’est pas toujours fermé une fois la mission terminée.

Des postes de travail non actualisés

Outil privilégié dans l’entreprise, le poste de travail est pourtant le parent pauvre de la mise à jour. Un point noir pour la sécurité.

La salle informatique, zone de haute sécurité !

Les salles informatiques gardent les clés du trésor, pourtant, bien des entreprises les négligent. Une personne mal intentionnée pénètre votre salle informatique et les dégâts peuvent être irréversibles.

Source 01net