par Wayne O.Evans
J 'ai enquêté sur la sécurité de nombreux sites AS/400 dans des secteurs très différents, et je vois sans cesse les mêmes types de risques. Je décris ici les 10 expositions les plus courantes et propose des suggestions pour trouver la parade.
Protégez votre iSeries
L’absence de politique de sécurité écrite est l’exposition la plus fréquente constatée pendant les audits de sécurité. Même les sites qui ont une politique écrite le font souvent parce qu’un organisme officiel l’exige. Dans de tels cas, la politique de sécurité est souvent faiblement appliquée ou en train d’amasser de la poussière sur une étagère.
Trop souvent, la direction se contente de dire un officier de sécurité : « Sécurisez l’ordinateur ». Cette même direction ne dirait jamais à un programmeur de simplement « écrire un programme » sans lui donner les instructions détaillées décrivant les entrées et sorties correspondantes. De même qu’un programmeur a besoin de spécifications de programme détaillées, un officier de sécurité a besoin d’une politique de sécurité pour comprendre les attentes de la direction.
Une bonne sécurité informatique suppose que les utilisateurs et le système d’exploitation travaillent ensemble pour protéger les informations. Une politique de sécurité exhaustive prend en compte l’homme et la machine. Plus précisément, le plan doit comporter les trois phases suivantes :
Une politique de sécurité de haut niveau établit les principes directeurs de l’organisation. Ces principes d’entreprise constituent la base de directives et de standards de politique plus détaillés.
Les directives des utilisateurs définissent l’aspect humain de la sécurité en indiquant aux utilisateurs ce qu’est un comportement acceptable espéré. Ces directives doivent être bien plus qu’une liste de choses à faire et à ne pas faire. Elles doivent fournir aux utilisateurs les renseignements nécessaires pour interagir avec l’ordinateur. Les utilisateurs sont plus enclins à suivre de bonnes pratiques de sécurité s’ils comprennent leurs finalités.
Les standards système définissent la partie machine d’une politique de sécurité. Ils fournissent des spécifications détaillées pour définir des paramètres de sécurité pour des valeurs système, des profils utilisateur, des paramètres de droits sur les objets et pour toutes les unités rattachées au réseau d’entreprise – y compris des boîtes non-iSeries comme les routeurs et les imprimantes.
Au lieu de créer une politique de sécurité à partir de zéro, on peut fort bien partir d’autres politiques existantes. A cet effet, je propose quatre modèles de documents de politique sur mon site Web (http://www.WOE-vans.com). Vous pouvez télécharger ces documents gratuitement, mais je vous demande de bien vouloir faire un don à l’organisme caritatif de votre choix.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
- Une baie de stockage c’est quoi ?
- Afficher les icônes cachées dans la barre de notification
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
