Derrière l'image de haute technologie que les éditeurs veulent donner à la sécurité informatique se cache une réalité décevante : les entreprises sont souvent victimes d'une série d'attaques bien connues et nécessitant peu de technique. Et, si ces attaques peuvent être menées à bien, c'est essentiellement grâce aux erreurs par omission toutes simples commises par les entreprises, et non du fait de la compétence ou de l'intelligence des pirates.

Sur le terrain, cette réalité est bien connue des consultants en sécurité. Tous tiennent le même discours : ils aimeraient s'occuper de choses plus sérieuses, travailler sur des projets vraiment motivants, mais ils sont trop souvent cantonnés à colmater sans cesse les mêmes brèches. Nous avons souhaité que ce dossier vous aide à éviter ces erreurs trop classiques. Il répertorie les bévues constatées sur le terrain par un groupe de consultants en sécurité, et vous propose des mesures simples vous permettant de les éviter.

Tous les incidents qui y sont relatés sont bien réels et proviennent de l'expérience personnelle des consultants interrogés. Nous avons ensuite procédé à un tri pour ne conserver que les erreurs les plus communes, en éliminant les cas particuliers, pourtant souvent truculents.

Bilan de notre enquête : loin des sirènes technologiques, ce dossier est le reflet du quotidien de nombreuses PME françaises, et même de quelques grands comptes, y compris dans le monde bancaire. Les erreurs que nous avons relevées proviennent le plus souvent du manque de temps et de connaissance des responsables informatiques.

Ceux-ci ont déjà fort à faire avec les impératifs opérationnels et n'ont guère la possibilité de se consacrer à la veille sur la sécurité et à l'étude des risques, voire même parfois à la configuration optimale de leur système d'information : si ce système fonctionne, il semble inutile au responsable informatique de rechercher la configuration la plus sûre. C'est ainsi que fonctionnent bon an mal an des systèmes de sauvegarde qui n'archivent plus qu'une partie des données vitales, que subsistent des comptes d'utilisateurs qui, eux, n'existent plus, ou encore que des coupe-feu donnent l'illusion de remplir correctement leur mission, mais ne filtrent plus rien depuis qu'un prestataire les a désactivés pour une opération de maintenance.

Et ce n'est finalement que lorsque ces situations finissent par avoir un impact sur la capacité opérationnelle du système (tel ce témoin dont la messagerie était tellement utilisée par des spammeurs qu'il recevait difficilement son propre courrier) que des mesures correctives sont décidées. Avant cela, la sécurité n'est qu'une contrainte le plus souvent occultée lors de la création des processus de l'entreprise.

C'est en partant de ce constat que nous tirons l'un des enseignements majeurs de notre enquête : avant d'être techniques, les problèmes de sécurité naissent d'une mauvaise ou de l'absence de politique de sécurité. Qu'il s'agisse de mots de passe mal choisis ou laissés par défaut, de serveurs déployés dans leur configuration d'origine ou de bornes Wi-Fi sauvages installées par des collaborateurs frustrés, c'est toujours un manque d'organisation au sein de l'entreprise qui en est la cause. Ainsi, il ne sert à rien de déployer un système de « user provisioning » performant si aucune procédure n'a été définie afin que le service informatique et celui du personnel puissent échanger leurs informations.

De même, un système de signature unique (SSO, Single Sign-On ), censé faciliter la gestion des mots de passe, sera inefficace tant que les employés n'auront pas été sensibilisés au stockage de ces mots de passe et à l'importance de ne pas les noter n'importe où. Enfin, ces pratiques dangereuses ne font pas qu'inciter à la malveillance mais fragilisent le système, avec au final un risque bien plus sérieux.

Une étude menée par IDC estime que 64 % des incidents de sécurité sont dus à des erreurs de manipulation. Une tendance que confirme le Club de la sécurité des systèmes d'information français (Clusif), dans son étude sur la « sinistralité » informatique en 2002, en répertoriant, parmi les premières causes d'incidents, les pannes internes, les erreurs d'utilisation et de conception.

Et, sur le terrain, cela semble être une réalité : les consultants que nous avons rencontrés nous ont ainsi souvent cité ces sociétés, parmi lesquelles de nombreuses PME, où tous les collaborateurs se prennent pour des administrateurs et ont ainsi tous les droits sur leur poste, y compris celui de désactiver l'antivirus ou d'effacer (en tombant dans le piège d'un canular, par exemple) des fichiers critiques de Windows.

Plus original : cet administrateur qui n'avait pas pris la peine de créer des comptes différents sur les serveurs de tests et ceux de production, et qui a effacé une base de données en production croyant nettoyer un serveur de développement. Il n'est ainsi pas nécessaire d'être attaqué par un pirate pour subir un incident de sécurité (une excuse souvent mise en avant par les PME pour justifier leur manque de préparatifs). En réalité, les propres collaborateurs de l'entreprise, même dotés de la meilleure volonté, peuvent faire tout autant de dégâts.

Face à ces erreurs simples, ce dossier apporte des solutions... simples. Celles-ci relèvent, dans la plupart des cas, du seul bon sens, et tentent de mettre l'accent sur l'aspect organisationnel de la sécurité, sans lequel les meilleurs outils sont inefficaces.

Entre autres pistes pour répondre aux problématiques que recouvre une politique de sécurité, l'audit et l'externalisation sont à étudier de près. L'audit permet en effet d'identifier immédiatement les faiblesses et d'y remédier. Aucun auditeur sérieux ne passera à côté des pièges que nous évoquons dans ce dossier, et il saura proposer des remèdes adaptés à l'existant et aux besoins de l'entreprise. Les audits se négocient sur la base d'un prix à la journée (généralement entre 1 000 et 2 000 euros HT), et de telles prestations simples ne dépassent généralement pas trois à quatre jours pour une PME. L'externalisation, enfin, permet de bénéficier d'une expertise sécurité impossible à conserver en interne et, surtout, de s'affranchir des contraintes d'un suivi de la sécurité : pour quelques centaines d'euros par mois, on peut confier la gestion de son parc d'antivirus, de sa messagerie ou de son coupe-feu à un spécialiste. À condition bien évidemment de ne pas tomber dans le piège de la confiance aveugle et de contrôler son travail régulièrement !