Sécurité DSI : 15 conseils avisés pour mettre en péril votre entreprise

La sécurité est un voyage dit-on, pas une destination.

Sécurité IT Voici 15 erreurs à commettre pour prendre le chemin à contre-sens…

Soyons réalistes, autrement dit fatalistes. A en juger par la facilité avec laquelle les ransomwares s’infiltrent dans les entreprises, avec laquelle les états ennemis et plus encore amis espionnent nos activités, avec laquelle les hackers compromettent nos systèmes et les pirates les paralysent par de vulgaires attaques DDOS, la sécurité est globalement un échec. Vos homologues ne cessent de vous parler de sécurité, mais à quoi bon lutter contre des cybercriminels qui ne cessent de faire preuve de toujours plus d’ingéniosité et de technicité. Ces derniers ont le beau rôle : ils attaquent quand ils veulent, comme ils veulent, précisément là où ils veulent !

Alors que vous, vous devriez tout protéger, tout le temps, y compris quand vos utilisateurs se promènent à travers la planète ?

Pire, ces efforts ne vous apporteront jamais aucune tranquillité d’esprit, ni même aucune reconnaissance, alors qu’il suffit de se faire dérober les données confidentielles de ses clients pour instantanément faire la Une des tabloïds et connaître la gloire…

Sécurité IT, voici 15 conseils avisés pour mettre en péril votre entreprise (ou choisir enfin les bonnes pratiques !)

1/ Ne formez surtout pas les utilisateurs

C’est « La Grande Règle ». Toutes les attaques majeures de ces dernières années (voire mois, semaines, jours), commencent par l’un d’eux ayant cliqué sans réfléchir sur une pièce attachée ou sur un lien malveillant. Laissez-les dans l’ignorance des bonnes pratiques. L’erreur suprême serait de les responsabiliser. Un utilisateur ignare reste votre atout clé pour la gloire !

2/ Laissez les droits d’administration à vos utilisateurs

C’est fondamental et c’est un corolaire du premier point. 99,9% des codes malveillants sont inopérants lorsque l’utilisateur est limité au – mal aimé – profil « standard » de Windows. Combien même ce profil est désormais totalement opérationnel sous Windows 7 et Windows 10 (ce qui n’était pas vrai sous XP), ne prenez pas le risque de fâcher vos utilisateurs : ils ont tant besoin des droits d’administration pour télécharger les fausses mises-à-jour Flash qui leur permettront de suivre les streaming des matchs de foot au bureau.

3/ N’imposez aucune politique de mots de passe

Les utilisateurs détestent les mots de passe et haïssent encore plus que la DSI définisse des règles imposant leur complexité. Et si l’on vous dit qu’il existe des moyens bien plus intelligents et efficaces, pas si chers ni complexes à implémenter, comme la reconnaissance biométrique, le SSO et la double authentification par smartphone, haussez les épaules et répondez en esthète avisé que « les Post-It multicolores sur les écrans, ça a aussi son charme ».

4/ Bannissez Windows Update

Voilà une règle déjà très populaire chez les DSI françaises : Windows Update, c’est mal. Chaque mise à jour possède un risque intrinsèque de planter le PC de l’utilisateur. Certes, avec Windows 10, les mises à jour sont d’abord testées sur 7 millions de Windows Insiders, puis sur les centaines de millions d’utilisateurs grand public avant d’atterrir dans l’entreprise. Néanmoins, le risque existe toujours, aussi infinitésimal soit-il. Bon, Windows 10 s’auto répare, mais vous avez autre chose à faire que de vous occuper des utilisateurs.

5/ N’adoptez pas Windows 10

Mieux encore, restez aussi longtemps que possible sous Windows XP. Ce vieil OS, créé alors que le Web 2.0 n’était que balbutiant, est une vraie passoire qui n’est plus maintenue par Microsoft. Quelle aubaine ! Et puis l’avantage, c’est qu’en ne passant pas à Windows 10, vous n’êtes pas obligé de repenser votre sécurité pour tirer profit de Credential Guard, Device Guard, EDP (Enterprise Data Protection), Windows Hello et autres outils embarqués dans l’OS.

6/ Portez fièrement votre tee-shirt « Real Heroes Don’t Use Antivirus »

 Après tout, le marketing des éditeurs de sécurité ne cesse de nous dire que les antivirus sont morts, qu’ils sont insuffisants, qu’ils manquent de proactivité. Prenez-les au mot. Il n’y a pas de petites économies.

7/ Désactivez les protections Macros d’Office

Les virus macro, c’est pour les nuls ! Qui s’amuserait à notre époque à infiltrer une entreprise avec des moyens aussi démodés ? Pourtant Office active par défaut des protections qui interdisent l’exécution de macro non signées. Désactivez tout ! Pourquoi priver vos utilisateurs des petites présentations Powerpoint coquines qu’ils s’échangent si facilement par email. Après tout, vous les recevez-vous aussi et, avouez-le, elles sont… explosives.

8/ Remerciez le BYOD

La mobilité… Quelle brillante trouvaille. Vos jeunes collaborateurs sont adeptes de ce qu’ils nomment « les nouveaux usages ». Ils veulent venir avec leurs propres terminaux ? Super ! De quoi potentiellement réaliser d’importantes économies sur le budget équipement de l’entreprise. Montrez-leur donc que vous avez un esprit aussi ouvert que votre système d’information. Laissez-les mélanger emails privés et professionnels, données perso et entreprises. Un tel foisonnement, forcément, il en « sortira » quelque chose…