Loading

Sécurité DSI : 15 conseils avisés pour mettre en péril votre entreprise

Sécurité: 15 conseils pour mettre en péril votre entreprise

On peut rire de tout… Même de ses propres erreurs…

La sécurité est un voyage dit-on, pas une destination. 

Voici 15 erreurs à commettre pour prendre le chemin à contre-sens…

Soyons réalistes, autrement dit fatalistes. A en juger par la facilité avec laquelle les ransomwares s’infiltrent dans les entreprises, avec laquelle les états ennemis et plus encore amis espionnent nos activités, avec laquelle les hackers compromettent nos systèmes et les pirates les paralysent par de vulgaires attaques DDOS, la sécurité est globalement un échec. Vos homologues ne cessent de vous parler de sécurité, mais à quoi bon lutter contre des cybercriminels qui ne cessent de faire preuve de toujours plus d’ingéniosité et de technicité. Ces derniers ont le beau rôle : ils attaquent quand ils veulent, comme ils veulent, précisément là où ils veulent ! 

Alors que vous, vous devriez tout protéger, tout le temps, y compris quand vos utilisateurs se promènent à travers la planète ? 

Pire, ces efforts ne vous apporteront jamais aucune tranquillité d’esprit, ni même aucune reconnaissance, alors qu’il suffit de se faire dérober les données confidentielles de ses clients pour instantanément faire la Une des tabloïds et connaître la gloire…

Voici 15 conseils avisés pour mettre en péril votre entreprise (ou choisir enfin les bonnes pratiques !

1/ Ne formez surtout pas les utilisateurs. C’est « La Grande Règle ». Toutes les attaques majeures de ces dernières années (voire mois, semaines, jours), commencent par l’un d’eux ayant cliqué sans réfléchir sur une pièce attachée ou sur un lien malveillant. Laissez-les dans l’ignorance des bonnes pratiques. L’erreur suprême serait de les responsabiliser. Un utilisateur ignare reste votre atout clé pour la gloire !

2/ Laissez les droits d’administration à vos utilisateurs. C’est fondamental et c’est un corolaire du premier point. 99,9% des codes malveillants sont inopérants lorsque l’utilisateur est limité au - mal aimé - profil « standard » de Windows. Combien même ce profil est désormais totalement opérationnel sous Windows 7 et Windows 10 (ce qui n’était pas vrai sous XP), ne prenez pas le risque de fâcher vos utilisateurs : ils ont tant besoin des droits d’administration pour télécharger les fausses mises-à-jour Flash qui leur permettront de suivre les streaming des matchs de foot au bureau.

3/ N’imposez aucune politique de mots de passe. Les utilisateurs détestent les mots de passe et haïssent encore plus que la DSI définisse des règles imposant leur complexité. Et si l’on vous dit qu’il existe des moyens bien plus intelligents et efficaces, pas si chers ni complexes à implémenter, comme la reconnaissance biométrique, le SSO et la double authentification par smartphone, haussez les épaules et répondez en esthète avisé que « les Post-It multicolores sur les écrans, ça a aussi son charme ».

4/ Bannissez Windows Update. Voilà une règle déjà très populaire chez les DSI françaises : Windows Update, c’est mal. Chaque mise à jour possède un risque intrinsèque de planter le PC de l’utilisateur. Certes, avec Windows 10, les mises à jour sont d’abord testées sur 7 millions de Windows Insiders, puis sur les centaines de millions d’utilisateurs grand public avant d’atterrir dans l’entreprise. Néanmoins, le risque existe toujours, aussi infinitésimal soit-il. Bon, Windows 10 s’auto répare, mais vous avez autre chose à faire que de vous occuper des utilisateurs.

5/ N’adoptez pas Windows 10. Mieux encore, restez aussi longtemps que possible sous Windows XP. Ce vieil OS, créé alors que le Web 2.0 n’était que balbutiant, est une vraie passoire qui n’est plus maintenue par Microsoft. Quelle aubaine ! Et puis l’avantage, c’est qu’en ne passant pas à Windows 10, vous n’êtes pas obligé de repenser votre sécurité pour tirer profit de Credential Guard, Device Guard, EDP (Enterprise Data Protection), Windows Hello et autres outils embarqués dans l’OS.

6/ Portez fièrement votre tee-shirt « Real Heroes Don’t Use Antivirus ». Après tout, le marketing des éditeurs de sécurité ne cesse de nous dire que les antivirus sont morts, qu’ils sont insuffisants, qu’ils manquent de proactivité. Prenez-les au mot. Il n’y a pas de petites économies.

7/ Désactivez les protections Macros d’Office. Les virus macro, c’est pour les nuls ! Qui s’amuserait à notre époque à infiltrer une entreprise avec des moyens aussi démodés ? Pourtant Office active par défaut des protections qui interdisent l’exécution de macro non signées. Désactivez tout ! Pourquoi priver vos utilisateurs des petites présentations Powerpoint coquines qu’ils s’échangent si facilement par email. Après tout, vous les recevez-vous aussi et, avouez-le, elles sont… explosives.

8/ Remerciez le BYOD. La mobilité… Quelle brillante trouvaille. Vos jeunes collaborateurs sont adeptes de ce qu’ils nomment « les nouveaux usages ». Ils veulent venir avec leurs propres terminaux ? Super ! De quoi potentiellement réaliser d’importantes économies sur le budget équipement de l’entreprise. Montrez-leur donc que vous avez un esprit aussi ouvert que votre système d’information. Laissez-les mélanger emails privés et professionnels, données perso et entreprises. Un tel foisonnement, forcément, il en « sortira » quelque chose…

9/ Favorisez le Shadow IT. Continuez de dire Non à toutes les demandes métiers et annoncez des délais de plusieurs mois pour tous nouveaux projets. Il ne s’écoulera pas une journée avant que les utilisateurs n’aillent chercher leur solution – tous seuls, comme des grands – dans le Cloud. Laissez-les faire, et surtout ne regardez pas ce qu’ils font !

10/ Inutile de réfléchir aux informations que vous collectez. Au diable la CNIL ! Collectez tout, sans même vous demandez si vous avez vraiment besoin des informations confidentielles que vous arrachez à vos clients. Après tout n’est-ce pas là le fondement même de ce Big Data dont on nous rabat les oreilles ? 

11/ Refusez l’intelligence artificielle. La BI et le Machine Learning, c’est bon pour les Métiers ! Comment peut-on sérieusement penser que la capacité des machines à compulser des milliers de logs pour repérer automatiquement des patterns, pour surveiller la cohérence entre les identités et les connexions et pour détecter des comportements anormaux puisse être supérieure à votre propre cerveau et la magnifique boule de voyance qui trône sur votre bureau ? Refusez de vous compromettre aux indices de compromissions !

12/ Sanctifiez le périmètre… Votre entreprise montre des velléités à utiliser des prestataires extérieurs, à favoriser le nomadisme de ses collaborateurs et à autoriser le travail à domicile ? Luttez, dressez les barricades, protégez votre ligne Maginot… L’informatique est binaire par nature : donc les gentils sont dedans et les méchants sont dehors. On ne va quand même pas réinventer le monde pour une simple question d’usages.

13/ Soyez aveugle. Si Facebook et Google n’autorisent plus que des connexions HTTPS, c’est forcément pour protéger leurs utilisateurs. Et certainement pas pour contourner les filtres de sécurité des entreprises. Qu’on se le dise ! N’avoir aucune visibilité sur les flux de données qui entrent ou quittent l’entreprise ne doit pas affecter votre sommeil. Inutile donc de mettre en place une politique de déchiffrement. D’ailleurs, si 80% des attaques exploitant SSL ou HTTPS ne sont pas détectées, 20% le sont. Restons positifs !

14/ Restez aveugle. C’est presque une Lapalissade : on ne peut pas sécuriser ce que l’on ne connaît pas. Autrement dit, si vous n’avez aucune visibilité sur votre réseau et vos équipements, vous ne pourrez pas les protéger efficacement. L’erreur de débutant à éviter : élaborer un plan de sécurité sur la base d’une cartographie des équipements et des données les plus sensibles. Vous seriez alors pris en flagrant délit de compétence aggravée !

15/ Multipliez les outils de sécurité : MDM, EMM, MAM, SIEM, Next Gen Firewalls, Applications Firewalls, ETM, etc. Prenez tout ce qui existe. Evidemment, si la sécurité n’était qu’une question d’outils, le problème n’existerait plus. Mais si vos directions générales ou le conseil d’administration vous reprochent un incident, vous pourrez prouver votre bonne foi et mettre en cause les déficiences d’un des outils. Prenez soin d’opter pour des outils d’éditeurs différents afin de ne disposer d’aucune console unifiée et d’introduire une telle complexité que tout malin un peu trop fouineur s’y perdra. La complexité est votre alliée (et l’ennemi de la sécurité). Mais surtout, surtout, ne faites aucune étude de besoins et aucune analyse de risques. Des outils inadaptés à des besoins indéfinis, voilà la clé du succès !

Evidemment, vous n’êtes pas obligés d’appliquer toutes ces règles simultanément. Une ou deux suffisent ! D’ailleurs, volontairement ou non, par paresse intellectuelle, par négligence, par manque de temps ou de moyens, certaines entreprises les appliquent déjà partiellement avec succès. Certaines sont ainsi passées maîtres dans l’art de bâtir des forteresses qui s’écroulent comme des châteaux de cartes à la moindre brise. 

Bien sûr, certains esprits malins pourraient voir dans ces conseils une manière ironique de dénoncer ces mauvaises pratiques. Et qu’il suffirait de prendre le contrepied de ces recommandations pour augmenter considérablement la sécurité de son entreprise. Allez savoir…

Loïc Duval Loïc Duval - Spécialiste systèmes d'exploitation
Féru de nouvelles technologies, ingénieur en informatique, spécialiste des systèmes d'exploitation, des SGBD, des infrastructures et de la sécurité des Endpoints, Loïc Duval…
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Top 5 Sécurité Mobile et Cloud en EntrepriseTop 5 Sécurité Mobile et Cloud en EntreprisePortés par une mobilité omniprésente et un Cloud synonyme d'agilité et productivité, les nouveaux usages soulèvent des challenges inédits en matière de sécurité. Les entreprises doivent se doter de protections complètes qui s'étendent des smartphones au Cloud et des identités aux données.Découvrez les meilleures pratiques

Ressources Informatiques

Repenser la sécurité pour les mobiles et le Cloud Cloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité…
   Smart DSI | 4 pages
Découvrez le Top 5 des meilleures pratiques
1er Guide de bonnes pratiques GDPR en entreprise Pour les entreprises, il s’agit, à présent, de réviser les procédures et s’assurer de la conformité au nouveau règlement avant les sanctions.…
   Stormshield | 24 pages
Découvrez le 1er Guide de bonnes pratiques GDPR en entreprise
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
10 manières de vous protéger contre les Ransomwares Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Comsoft | 8 pages
Découvrez le livre blanc
Rapport IDC sur la gestion de Cloud hybride Dans un environnement informatique hybride complexe, la gestion des opérations peut nécessiter l'utilisation de plusieurs outils de gestion et la mise…
   IDC - Red Hat | 8 pages
Découvrez le Guide IDC
Comment garantir la sécurité de vos flux documentaires ? Ce livre blanc explique comment le format PDF et la solution Power PDF de Nuance permettent de mettre en place, rapidement, efficacement et à moindre…
   Guide Nuance | 28 pages
Garantissez l'intégrité et la sécurité de vos documents
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Olivier Detilleux Olivier Detilleux Architecte Infrastructure

François Aubriot François Aubriot Consultant VDI et infrastructures

Patrick Thomas Patrick Thomas Formateur indépendant IBM i

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI