La sécurité ne s’obtient que par la prise en compte de toutes les brèches possibles. Et encore pas de manière absolue, les pirates ont toujours plus d’imagination que l’entreprise qui cherche à se protéger. Compte tenu des coûts exorbitants que suppose un système de sécurité complet, peu d’entreprises, surtout celles qui partent de zéro, ont les moyens de tout protéger en une seule fois.
Cloisonner pouréviter la propagation
Plutôt que de miser sur une faille, aussi importante soit-elle, en laissant de grandes portes ouvertes ailleurs, les spécialistes du domaine préconisent une démarche progressive. “Il s’agit de procéder de manière globale et homogène en sécurisant tous les points d’accès, quitte à monter en puissance peu à peu par la suite”, précise Philippe Lemaire, responsable marketing de CF6. Cette approche suppose une analyse du système, la localisation des données sensibles à protéger tout particulièrement et une sensibilisation des utilisateurs, qui sont parties prenantes dans un système de sécurité.Pour Laurent Charveriat, directeur technique de Cyber-Networks, société spécialisée dans le domaine, une politique de sécurité se construit dès le cahier des charges d’une application : “Il est impératif de cloisonner les services. Une fonction ne doit pas comporter de brèche qui permettrait à un pirate de créer un pont vers une autre application du système”. Dans le même ordre d’idée, les départements d’une société doivent être cloisonnés par des coupe-feu : une attaque du service comptable peut ainsi être isolée, évitant la propagation à d’autres services. Enfin, les attaques ne se résument pas à un piratage de machine. Une personne appelant un utilisateur d’une entreprise en se faisant passer pour un collègue et en disant qu’elle a perdu son mot de passe, se verra fréquemment “prêter” le fameux sésame. Autre exemple qui revient fréquemment dans les propos des spécialistes : le mot de passe inscrit sur un post-it collé sur l’écran d’un ordinateur. L’image peut faire sourire mais le problème en terme de sécurité demeure grave. La conclusion est simple : quelle que soit la politique mise en ?”uvre, si elle ne prend pas en compte la sensibilisation des utilisateurs et une discipline stricte, la sécurité du système ne peut être garantie. Enfin, un système de sécurité n’est jamais achevé : il évolue au fil des innovations en terme d’attaque. La veille s’impose donc. Il existe des outils de test d’instruction, ainsi que des sites web et des forums de discussion spécialisés qui facilitent cette démarche de surveillance, comme par exemple le Cert (cert.org) qui propose des informations sur les failles, les mises à jour de logiciels dès lors qu’un nouvel incident est annoncé. Pratiques, ces sites permettent en outre de tester la vulnérabilité d’un système.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
