> Tech > Un peu est mieux que rien

Un peu est mieux que rien

Tech - Par Renaud ROSSET - Publié le 24 mars 2011
email


La sécurité de l’information est un compromis entre sûreté et commodité. Plus il y a de sécurité et plus les interactions avec l’ordinateur sont lourdes pour vos utilisateurs. Cela dit, même un peu de sécurité vaut mieux que pas du tout. Elle ne vous protègera pas dans

Un peu est mieux que rien

tous les cas, mais elle peut atténuer les risques les plus graves. Pourtant, beaucoup de professionnels IT négligent de déployer une sécurité simple parce qu’ils travaillent à un niveau bien plus élevé, celui d’un grand plan directeur de protection ultime. Ne tombez pas dans ce piège. Faites tout de suite les choses faciles, tout en continuant à avancer sur des protections plus élaborées.

En matière d’appareils mobiles, quelques-unes des lacunes de sécurité les plus courantes sont les plus faciles à prévenir. Un utilisateur perd un portable ou un téléphone mobile alors qu’il est connecté, et donc quiconque trouve l’appareil peut facilement consulter et extraire son contenu. Il existe des protections simples contre ce genre de risque : imposer de puissants mots de passe matériels (BIOS) et logiciels (OS), des sessions interactives de courte durée, et l’identification obligatoire après le mode veille. Les connexions aux réseaux privés virtuels (VPN) ne doivent jamais stocker des mots de passe et doivent exiger une authentification à deux facteurs.

Un appareil perdu est un problème grave tant qu’il est dans la nature. Dans l’idéal, vous voulez récupérer l’unité ou détruire son contenu afin que ses données ne tombent pas dans de mauvaises mains. Sinon, vous devez imaginer le pire et agir en conséquence (et aussi à grands frais). Une fonction de sécurité utile et peu coûteuse que vous pouvez installer sur les portables et les téléphones mobiles est un logiciel de suivi et de reprise en cas de vol de style « Lo-Jack ». Le programme de suivi de vol se manifeste automatiquement auprès d’un site central chaque fois que l’accès Internet est disponible. Les adresses IP par lesquelles il se connecte sont enregistrées en permanence et peuvent aider les autorités à localiser l’appareil. Certains logiciels de suivi ont une sorte de « pilule mortelle » : si l’appareil est porté disparu, vous pouvez demander qu’il s’efface lui-même à sa prochaine connexion. Virtuellement, tous les smartphones ont maintenant cette fonction d’auto-effacement. Les réseaux privés virtuels (VPN) étaient une technologie sophistiquée et complexe. Mais aujourd’hui, les fonctions VPN sont intégrées dans la plupart des portables et appareils cellulaires et sont largement utilisées par les collaborateurs nomades. Il est facile de sous-estimer le risque lié à cette technologie : une connexion VPN compromise est un tunnel conduisant droit au cœur du réseau de l’entreprise.

Ce risque accru exige un niveau de protection supérieur déjà mentionné : l’authentification à deux facteurs (2FA). Cela revient à une mesure unique parce que 2FA est maintenant omniprésent, bien qu’un peu sous-utilisé. Il vous suffit de l’activer. Le 2FA le plus rudimentaire utilise la messagerie SMS cellulaire pour transmettre un mot de passe ponctuel chaque fois qu’un utilisateur se connecte au VPN. Pour se mettre en ligne, un intrus doit posséder trois choses : le portable, le mot de passe VPN et un téléphone mobile. Les méthodes 2FA plus sophistiquées emploient des jetons OTP, des mesures biométriques comme les empreintes digitales ou une combinaison d’entre eux.

Si vous utilisez Windows Active Directory dans votre réseau d’entreprise, il est fort probable que vos portables et, dans certains cas vos smartphones, sont régis par la stratégie AD. La corvée d’appliquer la sécurité de base est ainsi simplifiée parce qu’il vous suffit de « pousser » la plupart de ces stratégies plus rigoureuses sur vos portables lors de leur prochaine connexion au domaine du siège. Vous pourrez aussi empêcher les utilisateurs de remplacer des paramètres tels qu’un timeout de session et un stockage de mot de passe local.

« Attendez ! » s’écrient déjà ceux d’entre vous qui connaissent bien les pirates. « Ces mesures peuvent stopper un voleur occasionnel, mais un pirate digne de ce nom peut facilement les contourner par une simple initialisation à partir d’un disque de reprise système ! » Vous avez parfaitement raison. C’est pourquoi ces étapes simples ne peuvent pas être votre point d’arrêt, mais au moins elles réduisent l’exposition jusqu’à ce que vous puissiez déployer des protections plus élaborées. Si vous n’employez pas toutes ces méthodes aujourd’hui, arrêtez tout de suite de lire et faites le nécessaire pour les déployer cette semaine. Ensuite, poursuivez la lecture la semaine prochaine pour voir comment faire monter d’un cran la sécurité.

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par Renaud ROSSET - Publié le 24 mars 2011