Accéder au contenu principal

RSSI : 10 erreurs de sécurité à éviter absolument

Systèmes critiques de l'entreprise qui s'effondrent, mauvaise prise en compte d'un événement de sécurité crucial : ces dérapages peuvent compromettre sérieusement la carrière d'un responsable de la sécurité.
Il est encore très rare que des responsables de la sécurité informatique se fassent renvoyer pour faute professionnelle, mais certaines situations peuvent incontestablement les pousser plus près de la sortie. Faire confiance à ses compétences, appliquer les directives de l’entreprise, et se concentrer sur l'essentiel permet, selon certains, de s’assurer une longue carrière dans la sécurité informatique. S’il aide l’entreprise à établir un bon niveau de défenses et à les positionner aux bons endroits, le responsable informatique sera adulé. Mais s’il commet une seule des 10 erreurs suivantes, il devra sans doute envisager de postuler dans une autre entreprise.
Erreur n° 1 : Mettre à mal les fonctions critiques de l'entreprise
Si, par inadvertance, le responsable de la sécurité stoppe une fonction d’affaire critique pendant plus d’un ou deux jours pour installer un nouveau système de sécurité ou mettre en place un nouveau dispositif, il risque de se retrouver très rapidement au chômage, plus vite qu’il ne faut pour remettre d’aplomb le réseau. C’est le B.A BA du métier.
Conseil : savoir ce qui est essentiel pour l’entreprise et ne jamais interrompre les process, sauf si l’absence de réaction peut entraîner des dommages plus importants.
Erreur n° 2 : Éviter de compliquer la vie du CEO
Certains CEO s’en prennent aux professionnels de la sécurité, simplement parce qu'ils leur demandent de changer le mot de passe de leur ordinateur ou de renouveler le mot de passe d’une application à haut risque. La plupart des CEO veulent ouvrir leur ordinateur portable, cliquer sur une icône, et avoir accès à tout facilement, peu importe la sécurité. Toute personne en charge de la sécurité informatique qui a travaillé en direct avec un CEO en a fait l’expérience.
Conseil : faciliter autant que possible les accès du CEO au SI en maintenant les niveaux de sécurité requis.
Erreur n° 3 : Ignorer un événement de sécurité critique
Le management donne toujours la préférence aux fonctions critiques de l'entreprise et fait passer la sécurité au second plan. Du moins, tant que la sécurité n’a pas d’impact sur les fonctions critiques. Dans ce cas, le balancier oscille rapidement, et les têtes de ceux qui font du « business as usual » pendant que les actifs de l’entreprise étaient pillés, tombent rapidement.
Conseil : Identifier les événements de sécurité critiques qui peuvent révéler une activité malveillante, toujours les analyser à fond quand ils se produisent. Il n’est pas possible de pister chaque faux positif potentiel. Il faut reconnaître les plus nocifs et assurer une diligence raisonnable.
Erreur n° 4 : Prendre connaissance de données confidentielles

Si le CEO est le roi de l'entreprise, l'administrateur réseau est le roi du réseau. Ayant accès à tout ce qui se passe sur leur réseau, de nombreux administrateurs peuvent parfois accéder des données qu'ils ne sont pas autorisés à consulter. En langage militaire, il faut disposer de l’accréditation appropriée et faire partie du cercle de ceux « qui ont besoin de savoir ». Voilà pourquoi certaines entreprises externalisent la messagerie de la direction générale.
Conseil : Le responsable de la sécurité ne doit pas accéder aux données pour lesquelles il ne dispose pas d’autorisations valides. Il doit aider les propriétaires de ces données à chiffrer leurs données confidentielles avec des clefs auxquels il n’a pas accès.
Erreur n° 5 : Porter atteinte à la vie privée d’un salarié
Porter atteinte à la vie privée d'une personne est un autre moyen infaillible de perdre son job, peu importe la nature et l’importance de l’intrusion.
Conseil : Aujourd'hui, la confidentialité est l'un des principaux problèmes de la sécurité informatique. Jusqu’à récemment, tout le monde, ou presque, tolérait que des administrateurs ayant accès à un système particulier puissent voir occasionnellement des données qu’ils n’étaient pas censés voir. Ces temps sont révolus. Aujourd'hui, les systèmes enregistrent tous les accès, et chaque employé doit savoir que s’il accède à une seule donnée qu’il n’est pas autorisé à voir, il sera repéré et éventuellement sanctionné.
Erreur n° 6 : Utiliser des données réelles pour tester les systèmes
Lors de l'essai ou de la mise en œuvre de nouveaux systèmes, le responsable de la sécurité doit créer des données tests. L’une des façons les plus simples est de copier ou de mettre en réserve un sous-ensemble de données réelles. C’est ce qu’ont fait des milliers d'équipes d’application pendant des lustres. Mais désormais, utiliser des données réelles dans les systèmes de test peut être source de sérieux ennuis, surtout si l’administrateur a oublié de leur appliquer les mêmes règles de confidentialité.
Conseil : Créer de fausses données pour les systèmes de test, masquer certaines informations ou renforcer les systèmes de test accueillant les données réelles comme l’administrateur le ferait pour tout système de production.
Erreur n° 7 : utiliser les mêmes mots de passe dans l’entreprise et pour le web
Les pirates ont réussi beaucoup d’intrusions en utilisant les mots de passe utilisés sur le web par des salariés pour accéder à leurs données d'entreprise. Le plus souvent, la victime se fait piéger par une campagne de phishing : il clique sur un faux lien inclus dans le mail censé le rediriger vers Facebook, Twitter, Instragram ou autre. Ou encore, les pirates ont volé la base de données du site avec les mots de passe. Dans tous les cas, ces derniers sont en possession de mots de passe et ils savent que beaucoup d’internautes utilisent le même mot passe pour des comptes différents, y compris pour des accès entreprises. Et ils tentent toujours leur chance.
Conseil : S’assurer que tous les salariés comprennent le risque d’utiliser les mêmes mots de passe sur des sites web et dans l’espace sécurisé de l’entreprise.
Erreur n° 8 : Laisser des brèches « ANY ANY »
Certains seraient surpris du nombre de pare-feu autorisant tout type de trafic sans discrimination dans et à l’extérieur du réseau. C’est d’autant plus paradoxal que presque tous les pare-feu sont configurés par défaut avec des autorisations très restrictives, empêchant parfois une application de fonctionner. Et, si après de nombreux essais, elle ne fonctionne toujours pas, c’est le pare-feu qui est incriminé. C’est dans ces circonstances qu’est introduite la règle du « ANY ANY ». Or cette règle indique au pare-feu d’autoriser tout le trafic et de ne rien bloquer. En général, la personne qui demande ou établit cette règle ne le fait que de façon temporaire, le temps de comprendre si le pare-feu peut être ou non à l’origine du problème.
Conseil : Ne jamais appliquer de règle « ANY ANY ».
Erreur n° 9 : Ne pas changer les mots de passe administrateur
L’une des erreurs les plus courantes qui peuvent mettre en difficulté le responsable de la sécurité, c’est de conserver ses mots de passe administrateur pendant une trop longue période. Les audits de sécurité le confirment clairement : presque toutes les entreprises sont « protégées » par de multiples mots de passe vieux de plusieurs années, y compris les mots de passe administrateur.
Tous les manuels de sécurité informatique recommandent de changer tous les mots de passe sur une base périodique raisonnable. Dans la pratique, cela signifie tous les 45 à 90 jours. Les mots de passe d’administration et les mots de passe critiques doivent être plus forts et changés plus souvent que les mots de passe utilisateur. Dans la plupart des entreprises, les mots de passe administrateur sont longs et complexes, mais ils ne sont jamais changés.
Conseil : Changer périodiquement tous les mots de passe, en particulier ceux des comptes admin et des services. Toujours changer les mots de passe immédiatement après le départ de l’entreprise d’un responsable sécurité. Enfin, ne pas utiliser de comptes et de mots de passe admin pour les applications.
Erreur n° 10 : considérer toute vulnérabilité comme « très dangereuse »
Les collègues et les médias ne manqueront jamais de signaler les multiples vulnérabilités critiques qui risquent de paralyser le réseau et les systèmes de l’entreprise. Mais il faut de l'expérience et des compétences pour savoir à quel point elles menacent vraiment son réseau. Si le responsable de la sécurité réagit à chaque vulnérabilité comme si c’était une vulnérabilité majeure, certains vont se demander s’il connaît bien son job, s’il sait discerner les vraies menaces. Et il risque de ne pas être pris au sérieux, même s’il alerte l’entreprise sur une vulnérabilité à risque. Certes, crier au loup à chaque menace n’entraînera probablement pas la mise à l’écart du responsable de la sécurité, mais cela peut certainement réduire ses possibilités d’avancement à long terme.
Conseil : Bien hiérarchiser les vulnérabilités et ne pas compromettre sa crédibilité en lançant de fausses alertes qui font perdre du temps à ses collègues.

source : http://www.lemondeinformatique.fr/actualites/lire-rssi-10-erreurs-de-securite-a-eviter-absolument-63475.html

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces derniers leu
Enregistrer un commentaire
Lire la suite

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des
Enregistrer un commentaire
Lire la suite

"Le pouvoir de Google est inégalé dans l'Histoire"

Alors que Bruxelles sévit contre le moteur de recherche "ultra-dominant", le lobbyiste Jacques Lafitte souhaite qu'il change d'attitude.  Le Point.fr. La Commission s'apprête à notifier des griefs à Google. Pourquoi est-ce important ? Jacques Lafitte. Google est en position ultra-dominante sur le marché de la recherche généraliste sur Internet depuis déjà dix ans. Petit à petit, Google a dominé certaines recherches spécialisées comme les recherches géographiques. Google possède aussi YouTube, dont le pouvoir est gigantesque. Demain, il sera présent dans des domaines encore plus sensibles comme les finances personnelles et la santé. Et Google abuse de sa position dominante d'une foule de façons, parfois subtiles, parfois violentes, et au total diaboliquement efficaces. Certains érudits sont tentés de comparer Google au Big Brother de George Orwell ; moi, je constate surtout le carnage au quotidien, avec les sociétés novatrices comme 1plusV &
Enregistrer un commentaire
Lire la suite