Le guide des mauvaises pratiques de sécurité (et leurs solutions)

S'abonner :

Newsletters

Magazines

01men.

Le guide des mauvaises pratiques de sécurité (et leurs solutions)

Jérôme Saiz , Décision Informatique (n° 592), le 14/06/2004 à 07h00

Introduction
Avant d'être victimes des pirates, nombre d'entreprises le sont plutôt de l'absence de gestion de leur sécurité. L'inconscience ou la méconnaissance des astuces élémentaires leur font souvent plus de mal que les hackers chevronnés. Sur le terrain, les consultants spécialisés sont confrontés quotidiennement aux mauvaises pratiques. Dans ce guide, ils vous les dévoilent… pour ne pas les reproduire.

Des précautions élémentaires avant toute chose
La majorité des incidents de sécurité proviennent d'un petit nombre de mauvaises pratiques bien connues. Nous vous les dévoilons et vous livrons également les clés pour les éviter.
- Sophie Pietremont (Symantec) : « Les PME ignorent que, face aux menaces virales actuelles, l'antivirus ne suffit pas »

Le mot de passe, coupable tout désigné
La gestion des mots de passe, ou plutôt leur non-gestion, est la première cause d'incidents de sécurité. Mal choisis ou même laissés par défaut, les mots de passe sont le point faible d'un grand nombre d'entreprises.

Conserver le contrôle sur ses prestataires
Même si l'entreprise n'externalise pas totalement sa sécurité, de nombreux prestataires extérieurs participent malgré tout au processus de sécurisation. Et il vaut mieux savoir comment cela se passe en coulisses.
- Marc Blet (Intrinsec) : « Vérifier s'il existe une politique de sécurité chez le prestataire et si elle est opérationnelle »

La sécurité sortie de la boîte
La simplicité d'installation des outils informatiques fait souvent oublier qu'ils doivent être configurés. Car les réglages par défaut laissent souvent des portes grandes ouvertes.

Le temporaire qui mine la sécurité
Locaux supplémentaires en attendant un déménagement, configuration provisoire durant l'installation d'une application : les solutions temporaires génèrent des risques.

Des sauvegardes mal administrées
De bonnes sauvegardes sont l'assurance de pouvoir reprendre l'activité au plus vite après un accident majeur. Mais rares sont les entreprises à s'être vraiment penchées sur le problème. Florilège des erreurs de sauvegarde.

La mauvaise configuration des outils Internet
Faciles à installer, parfois même préinstallés, les serveurs Web, les caches et autres serveurs de noms sont rapidement opérationnels, mais fragilisés quand ils sont configurés par les entreprises elles-mêmes. Conseils pour un déploiement sécurisé.
- Loïc Cuguen (Idealx) : « 90 % des PME ne savent pas configurer leur coupe-feu »
- Olivier Person (Lorans SA) : « Notre messagerie est tombée aux mains des spammeurs »

Le piège des développements maison
Il n'est pas rare que l'entreprise privilégie un développement interne pour limiter ses coûts. Après tout, les compétences ne manquent pas dans l'univers Web et PHP. Mais les développeurs sont-ils conscients des risques liés à la sécurité ? Trop rarement.
- Stéphane Fermigier (Nuxeo) : « Les développeurs n'anticipent pas le risque »

Wi-Fi fait « portes ouvertes »
Le Wi-Fi est pratique, mais il peut aussi se révéler dangereux. Attention surtout aux déploiements sauvages de bornes.

Ces collaborateurs qui ne partent jamais
Entre les départs, les stagiaires et les intervenants extérieurs, beaucoup de monde dispose d'un compte… qui n'est pas toujours fermé une fois la mission terminée.

Des postes de travail non actualisés
Outil privilégié dans l'entreprise, le poste de travail est pourtant le parent pauvre de la mise à jour. Un point noir pour la sécurité.

Une salle informatique, ça se soigne
Les salles informatiques gardent les clés du royaume, pourtant, bien des entreprises les négligent.