Top 8 Conseils Pro en Matière de Sécurité IT

En tant que professionnel de l’informatique et des technologies de l’information (IT), vous savez que la sécurité de l’information fait partie de vos responsabilités.

Pourtant, la plupart des incidents touchant à la sécurité, depuis les premiers ordinateurs, ont été causés par le laxisme de soi-disant « professionnels » IT.

Le vrai professionnel est celui qui agit selon des standards établis, quel que soit l’environnement de travail. Mais, trop souvent, on considère que le professionnalisme IT dépend d’une certaine manière de nos employeurs.

Ceux qui ont cette attitude ne méritent pas le titre de professionnels. La simple liste qui suit vous permettra de passer en revue vos responsabilités, évidentes et plus subtiles, et les habitudes que les pros acquièrent pour les honorer.

Toute liste de ce genre est forcément un peu orientée. Aussi, pour plus de variété, celle-ci s’intéresse aux deux faces : les bonnes habitudes des pros IT et, en regard, les mauvaises habitudes correspondantes des amateurs négligents ou dilettantes. Vous pourrez ainsi mesurer votre degré de professionnalisme et voir comment l’améliorer.

1. J’applique une bonne sécurité personnelle vs Personne ne se soucie de moi

Les hackers savent bien cela et s’en servent fréquemment par le biais des réseaux sociaux (social engineering) pour détecter les points faibles et déjouer ainsi votre sécurité.

Le dilettante IT fait facilement des faux pas (en français dans le texte) : laisser sans surveillance des sessions non verrouillées, noter des mots de passe, utiliser partout le même mot de passe, et jeter des documents sensibles dans des corbeilles à la portée de tous. Il ne faut jamais sous-estimer le culot d’un intrus mal intentionné, capable de se déguiser en livreur ou en balayeur pour récupérer le contenu des corbeilles ou s’installer devant un écran d’ordinateur non verrouillé. Une sécurité personnelle stricte est la seule défense.

Même si vous ne vous les appliquez pas, vous connaissez déjà ces principes de sécurité : adopter des mots de passe uniques et complexes et les protéger ; mettre les écrans et les claviers à l’abri des mains et des regards en votre absence ; gérer les documents avec soin (et toujours broyer !); crypter et protéger par mot de passe les appareils mobiles ; et toujours vérifier à qui vous parlez au téléphone. Ajoutons-y quelques habitudes du vrai professionnel : choisir des outils de navigation sûrs pour surfer sur le web ; privilégier l’authentification à deux facteurs ; soumettre les données mobiles à un cryptage physique ; et éviter la saisie des mots de passe par raccourci clavier, pour contrecarrer les enregistreurs de frappe et les regards indiscrets.

Généralement, les employeurs approuveront et encourageront ces pratiques. Mais si tel n’est pas le cas, pour des raisons de coût ou de commodité, ce n’est pas une raison
pour ne pas les appliquer personnellement. Ce n’est pas cher et il vous suffit de prendre le temps de vous familiariser avec les outils garants d’une bonne sécurité personnelle.

Cocoon (getcocoon.com), NoScript (noscript.net), et Web of Trust (mywot.com) offrent des plug-ins de navigation sûrs sur FireFox (il va sans dire que vous devez éviter autant que possible Internet Explorer et ses multiples failles). Le jeton mot de passe USB à un seul usage Yubikey de Yubico (yubico.com) offre une authentification à deux facteurs bon marché (25 $) sur de nombreuses plates-formes. Le système d’authentification open-source OpenID (openid.net) offre des outils single-sign-on (SSO) puissants.

Les produits self-encrypting drive (SED)  du Trusted Computing Group (trustedcomputinggroup.org/solutions/data_protection) sont très présents sur les ordinateurs notebook actuels et arrivent sur les tablettes et les smartphones. Les lecteurs USB à cryptage matériel tel que ceux de IronKey (ironkey.com) et Apricorn (apricorn.com) sont peu coûteux et robustes, avec deux avantages supplémentaires : la gestion de mots de passe intégrée et des outils de navigation sûrs.

2 – Je consulte chaque jour les rapports de menaces connues vs C’est l’affaire du fournisseur, pas la mienne

Beaucoup de DSI attendent de leurs fournisseurs d’OS, antivirus, et logiciels anti-intrusion (intrusion prevention software, IPS) qu’ils se tiennent au courant en permanence des menaces toujours plus nombreuses. En réalité, beaucoup de menaces ne peuvent pas
être contrées par des correctifs (patches), des antivirus, ou des IPS. Une grande partie des vulnérabilités exigent en réponse une intervention manuelle.

Vous pouvez sortir du groupe passif en consacrant quelques minutes en début de journée à consulter les derniers rapports de menaces émanant des bases de données de vulnérabilité gouvernementales : U.S. Department of Homeland Security’s National Vulnerability Database (nvd.nist.gov) ;
consoles des « security researchers », comme  SANS Internet Storm Center (isc.sans.edu) et le @RISK Consensus Security Alert RSS feed (feeds.feedburner.com/SansInstituteAtRiskAll) ; et les portails de fournisseurs tels que MessageLabs Intelligence de Symantec (messagelabs.com).

Et il n’est pas mauvais de jeter un oeil aux portails de sécurité favoris des ennemis : cyberxtreme.info, hackaday.com, hackinthebox.org, et l0pht.com.

Vous n’y trouverez pas les vrais trucs des hackers, mais les fameuses attaques « zero day » transparaissent souvent sur les blogs de ces sites avant que les organismes de sécurité officiels ne les débusquent. De même, les journaux périodiques des hackers, comme 2600.com, ont toute leur place dans vos lectures mensuelles.

3. Je m’instruis continuellement par mes propres moyens vs Mon patron ne paie jamais aucun cours

Non seulement les menaces sont toujours plus nombreuses, mais les nouvelles technologies en génèrent de nouvelles. Par exemple, les premiers systèmes VoIP subissaient des appels longue distance très coûteux, en raison d’abus, parce que les informaticiens
chargés de leur déploiement ne comprenaient pas bien les risques de la nouvelle technologie.

Heureusement, la formation continue en matière de sécurité est une habitude facile à prendre. Beaucoup des meilleurs moyens pédagogiques sont gratuits ou presque, et vous pouvez bénéficier de riches bibliothèques pour un coût mensuel très bas. Cette dépense personnelle peut s’avérer bénéfique pour la suite de votre carrière. Et si votre employeur la prend en charge, il a tout à y gagner.

Le plus grand organisme d’éducation sur la sécurité est peut-être le System Administration, Networking, and Security Institute (SANS, sans.org), qui possède un fonds important de documents de référence gratuits, de newsletters, audiocasts, et webcasts gratuits, et qui propose sur son portail
des cours de formation sur la sécurité reconnus par une certification. Vous pouvez aussi trouver un cours sur la sécurité online gratuit dans la bibliothèque de publications Computer Emergency Response Team cert.org/search_pubs. Pour une formation par abonnement peu onéreuse, consultez Safari Books Online de O’Reilly (safaribooksonline.com), l’Association for Computing Machinery (acm.org), et Lynda.com.

De nombreux fournisseurs et publications IT sponsorisent aussi d’intéressants webcasts sur la sécurité, gratuits ou peu coûteux.

4. Je forme régulièrement nos utilisateurs à la sécurité vs Cela ne fait pas partie de mes attributions

Bien souvent ils ont raison, en grande partie à cause de notre incapacité, nous les spécialistes, à former les utilisateurs autrement que par des règles peu intelligibles.
Pourquoi les mots de passe doivent-ils contenir des chiffres et des caractères spéciaux ? Pourquoi ne puis-je pas cliquer sur les liens des e-mails ?
Quel mal y a-t-il à utiliser la clé USB que j’ai trouvée par terre aux toilettes ? Pourquoi ne puis-je pas mettre un contenu professionnel concernant
mon travail sur mon site social ? Les réponses à ces questions nous semblent évidentes, mais elles paraissent arbitraires à l’utilisateur final qui a du mal à s’en souvenir.

Personne n’est mieux armé que nous, les pros IT, pour expliquer aux utilisateurs ces précautions de sécurité. Ainsi informés, ils se protégeront mieux contre
les attaques directes et indirectes. Vous pouvez améliorer la formation des utilisateurs par quelques cours avec diapos, accompagnés de tests de compréhension.

Le cours devrait aussi traiter des attaques par réseau social, des règles de sécurité de l’entreprise, et des procédures de comptes rendus d’incidents touchant à la sécurité.

Comme bon exemple de document  de formation en entreprise on retiendra la présentation de diapos de Maintaining Security While Using Computers de J. Iverson Riddle Development Center (www.jirdc.org/Files/Users.ppt). Cette simple présentation souligne les points importants et inclut un autotest. En quelques heures, vous pouvez élaborer un cours comme celui-là destiné à vos utilisateurs.

La formation des utilisateurs ne peut pas reposer entièrement sur des cours clé en main. Un bon administrateur de sécurité doit varier les formes d’enseignement : webcasts internes, séminaires par petits groupes, et, si nécessaire, du conseil en tête-à-tête.

Une telle formation est très fructueuse. Vous mettez les fruits des branches basses hors de portés de l’attaque moyenne, particulièrement des attaques automatisées comme les e-mails de phishing (hameçonnage) et Trojans (chevaux de Troie). En définitive, votre tâche sera facilitée parce que vous aurez réduit le nombre d’incidents par logiciel malveillant et que vous aurez rendu les intrusions plus difficiles.

La formation des utilisateurs à la sécurité est un job que chaque entreprise doit attribuer à quelqu’un. Si vous ne le faites pas, ne comptez pas sur les autres.

5. Je vérifie périodiquement les incidents de sécurité vs Nous avons un plan standard de réponse aux incidents

En effet, la plupart d’entre eux, y compris PCI/DSS, HIPAA, et le volet sécurité de l’information de Sarbanes-Oxley, se cantonnent aux failles les plus évidentes et ne
constituent pas (d’ailleurs ils ne le prétendent pas) une barrière étanche contre les lacunes de sécurité.

Tout standard de sécurité doit comporter un plan de réponse aux incidents de sécurité (security incident response, SIR) : que faire quand la sécurité a été transgressée.
Le plan énumère les procédures visant à limiter l’étendue des dégâts, précise qui doit être informé (y compris les notifications légales obligatoires), indique comment effectuer
l’analyse approfondie, et décrit une procédure pour redresser les systèmes et processus vulnérables.
Mais, exactement comme un plan de reprise après sinistre (disaster recovery , DR), un SIR ne sera efficace que si vous le testez. Et même un test en direct  satisfaisant ne
garantit en rien que des changements futurs ne créeront pas de nouvelles vulnérabilités non prévues dans le plan actuel.

Quoi ? Vous n’avez pas de SIR, ou, si vous en avez un, personne n’est chargé de sa gestion ? Alors il vous faut un SIR Team (parfois appelée CSIR Team, ou CSIRT).
CERT (cert.org) expose parfaitement ce processus dans son document Creating a Computer Security Incident Response Team: A Process for Getting Started
(cert.org/csirts/Creating-A-CSIRT.html).

6. Je m’assure de la sécurité physique vs Les portes verrouillées ne sont pas si importantes, car nos mots de passe sont excellents

Ce dernier est d’ailleurs souvent quelqu’un dont la présence est normale dans la pièce et, de ce fait, moins repérable qu’un intrus venant de l’extérieur.
Mais même des intrusions externes se produisent avec une régularité préoccupante.

Par exemple, Wikipedia documente deux intrusions physiques courantes dans l’article « Physical information security » (en.wikipedia.org/wiki/Physical_information_security) :
plongée dans la poubelle et vol de documents à découvert. Dans le premier cas, les intrus recherchent des données sensibles dans les poubelles de l’entreprise.
Dans le second, un voleur très culotté imite un employé de maintenance ou de nettoyage, pénètre résolument dans les locaux de la victime et dérobe un document précis.

Vous pouvez déjouer ces attaques par quelques simples mesures personnelles qui serviront d’exemple à vos collègues : broyer les documents sensibles périmés, fermer
à clé les salles et les classeurs sensibles, tenir les documents sensibles hors de vue ou dans un tiroir verrouillé, et ainsi de suite. Si vous avez l’autorité suffisante, vous
pouvez même intégrer ces mesures dans la stratégie de sécurité de l’information.

7. Je connais les comportements normaux du système et du réseau et je détecterai tout écart vs En cas de problème, j’en entendrai parler bien assez tôt : inutile de courir au-devant des ennuis

Malheureusement, trop d’ IT Pros ne prennent pas le temps de mettre en oeuvre ces mécanismes capables de signaler les problèmes avant la catastrophe. Par exemple, un simple moniteur
d’espace disque peut représenter graphiquement l’espace disponible au fil du temps, pour que vous détectiez tout écart insolite. Une baisse soudaine de l’espace disponible est souvent le
premier symptôme d’un hacker stockant des fichiers illicites dans votre système.

Beaucoup d’outils de supervision effectuent automatiquement ce travail : collecte et tracé des statistiques des ressources système (par exemple, utilisation mémoire/disque/CPU, trafic
sur le réseau, journaux d’événements) pour signaler les dépassements de seuils au personnel compétent, par un système d’escalade, jusqu’à trouver l’origine du problème.
Simple Network Management Protocol (SNMP) est l’outil de base pour une telle supervision. Mais il existe aussi de multiples outils de supervision SNMP gratuits ou peu coûteux.
Et d’abondants outils logiciels open source, comme MRTG (mrtg.org), Cacti (cacti .net), et Nagios (nagios.org). Sans oublier de nombreux outils commerciaux, beaucoup comportant
deux éditions freeware ou communautaire. Par exemple,  Intermapper de Dartware est proposé dans une version « Five for Free » (cinq gratuits) (intermapper.com/products/free-tools/five-for-free),
et PRTG Network Monitor de Paessler a une édition freeware similaire (paessler.com/prtg/download).

Bien entendu, il ne suffit pas de posséder les outils. Encore faut-il qu’ils mesurent les bonnes valeurs et que vous les mettiez à jour régulièrement au fil des changements systèmes et réseaux.
Mais il est certain que gérer votre information d’entreprise sans de tels outils s’apparente à piloter un avion dans les nuages sans instruments.

8. Je place la sécurité au même niveau que les autres facteurs de conception de systèmes, en l’intégrant dès le début vs Faisons d’abord marcher le système, nous ajouterons plus tard la couche de sécurité.

Trop souvent, en fait presque toujours, la sécurité vient après. Tout Internet est un exemple de la philosophie  « faisons d’abord marcher le système », laquelle a coûté des milliards de dollars aux entreprises et aux particuliers.
Même aujourd’hui, de nombreux systèmes (comme l’e-mail SMTP entre des organisations distinctes) demeurent vulnérables parce que les spécialistes ont jugé le cryptage a posteriori trop onéreux.

Nous devons nous accommoder des systèmes tels qu’ils sont, mais sans pour autant persister dans l’erreur. En tant que pro IT, vous êtes souvent en première ligne du développement système et avez votre mot à
dire sur les spécifications initiales et les processus de développement. Il vous incombe de placer la sécurité au même niveau que la performance, les fonctions, et autres. Vous rencontrerez probablement de la résistance,
mais Internet vous fournira le meilleur exemple des raisons pour lesquelles la sécurité doit être un attribut système de premier plan.

Ce souci de la sécurité dès la conception (security-by-design) doit aussi concerner la confidentialité de tout système sur lequel vous travaillez. Ne conservez que les données strictement nécessaires sur le plan légal et éthique.
N’accordez l’accès qu’à ceux qui en ont besoin, et toujours avec des contrôles stricts. La confidentialité que vous protégez ainsi pourrait bien être la vôtre.

Tutoriels et guides experts sur la Sécurité IT avec @itprofr :

Sécurité | iTPro.fr

Sécurité IT : 15 conseils avisés pour mettre en péril votre entreprise (itpro.fr)

10 conseils protection de son compte sur un réseau social · iTPro.fr

Les 5 conseils pour un télétravail en toute sécurité · iTPro.fr