par Wayne O.Evans
J 'ai enquêté sur la sécurité de nombreux sites AS/400 dans des secteurs très différents, et je vois sans cesse les mêmes types de risques. Je décris ici les 10 expositions les plus courantes et propose des suggestions pour trouver la parade.
Protégez votre iSeries
L’absence de politique de sécurité écrite est l’exposition la plus fréquente constatée pendant les audits de sécurité. Même les sites qui ont une politique écrite le font souvent parce qu’un organisme officiel l’exige. Dans de tels cas, la politique de sécurité est souvent faiblement appliquée ou en train d’amasser de la poussière sur une étagère.
Trop souvent, la direction se contente de dire un officier de sécurité : « Sécurisez l’ordinateur ». Cette même direction ne dirait jamais à un programmeur de simplement « écrire un programme » sans lui donner les instructions détaillées décrivant les entrées et sorties correspondantes. De même qu’un programmeur a besoin de spécifications de programme détaillées, un officier de sécurité a besoin d’une politique de sécurité pour comprendre les attentes de la direction.
Une bonne sécurité informatique suppose que les utilisateurs et le système d’exploitation travaillent ensemble pour protéger les informations. Une politique de sécurité exhaustive prend en compte l’homme et la machine. Plus précisément, le plan doit comporter les trois phases suivantes :
Une politique de sécurité de haut niveau établit les principes directeurs de l’organisation. Ces principes d’entreprise constituent la base de directives et de standards de politique plus détaillés.
Les directives des utilisateurs définissent l’aspect humain de la sécurité en indiquant aux utilisateurs ce qu’est un comportement acceptable espéré. Ces directives doivent être bien plus qu’une liste de choses à faire et à ne pas faire. Elles doivent fournir aux utilisateurs les renseignements nécessaires pour interagir avec l’ordinateur. Les utilisateurs sont plus enclins à suivre de bonnes pratiques de sécurité s’ils comprennent leurs finalités.
Les standards système définissent la partie machine d’une politique de sécurité. Ils fournissent des spécifications détaillées pour définir des paramètres de sécurité pour des valeurs système, des profils utilisateur, des paramètres de droits sur les objets et pour toutes les unités rattachées au réseau d’entreprise – y compris des boîtes non-iSeries comme les routeurs et les imprimantes.
Au lieu de créer une politique de sécurité à partir de zéro, on peut fort bien partir d’autres politiques existantes. A cet effet, je propose quatre modèles de documents de politique sur mon site Web (http://www.WOE-vans.com). Vous pouvez télécharger ces documents gratuitement, mais je vous demande de bien vouloir faire un don à l’organisme caritatif de votre choix.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Analyse Patch Tuesday Juin 2026
- La bataille de la 6G se gagne dans la donnée en temps réel
- BlueSecure repense la sensibilisation à la cybersécurité avec des formats immersifs et engageants
- Les agents d’IA fragilisent la sécurité : pour les sécuriser, inutile de repartir de zéro
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
