Préambule
Nous aimons l’approche de dire ce qui peut mal tourner si les choses sont faites de la mauvaise manière.
Cet article est notre humble traduction d’un article de Kevin Beaver initialement publié en 2002 et qu’il a republié en 2021, son contenu est encore pleinement d’actualité. Un grand MERCI à Kevin pour nous avoir autorisé à le publier ici (cf. source en fin d’article).
L’approche de Kevin en matière de sécurité de l’information est pragmatique, en cela qu’il nous dit d’abord de mettre bien en œuvre les contrôles basiques et de les maîtriser avant de partir dans des considérations nouvelles. Evitons d’ajouter de la complexité sur de la complexité, travaillons à simplifier ce qui permet de rendre intelligible notre discours pour renforcer la sécurité des informations. Sans quoi notre discours est et restera inaudible.
Si les contrôles basiques, les bonnes pratiques reconnues et éprouvées étaient effectivement en place la grande majorité des incidents de sécurité seraient évités !
Bonne lecture !
The 21 Best Ways to Lose Your Information, revisited
Avec tous les incidents et les violations de la sécurité informatique provoqués par de nombreux « dysfonctionnements » malheureux, et compte tenu du fait que je ne cesse de répéter qu’il est important de maîtriser les bases de la sécurité informatique, j’ai pensé qu’il serait approprié de publier à nouveau le contenu d’un article que j’ai écrit pour Computerworld en 2002…
Cet article est le deuxième que j’ai écrit. J’étais loin de me douter que, près de deux décennies plus tard, chacun de ces 21 points serait encore d’actualité aujourd’hui ! En fait, c’est généralement une ou plusieurs de ces faiblesses qui sont à l’origine de la quasi-totalité des incidents et des violations de sécurité qui se produisent actuellement. Malgré cela, les gens choisissent de courir après les dernières et meilleures technologies de sécurité, de se laisser distraire par la « chasse » aux menaces et de perdre du temps à peaufiner leur documentation de sécurité. Que faut-il faire pour obtenir des améliorations significatives ?
La sécurité de l’information n’est jamais aussi difficile que beaucoup le prétendent (souvent dans le but de vendre plus de produits ou d’avoir l’air occupé pour justifier une fonction). Que ceci serve d’ensemble de meilleures pratiques de ce qu’il ne faut pas faire dans l’informatique. Si vous vous concentrez sur ces seuls domaines et les maîtrisez, vous aurez une longueur d’avance et ne serez pas une cible aussi importante – ou aussi facile – que les autres.
Vous êtes-vous déjà demandé quelles étaient les meilleures façons de se faire pirater, d’être affecté par des catastrophes ou de perdre des informations stockées sur vos systèmes informatiques ? Voici, sans ordre particulier, les 21 meilleures façons de ne pas sécuriser vos systèmes :
Voici, sans ordre particulier, les 21 meilleures façons de ne pas sécuriser vos systèmes :
1. Ne faites pas attention ou ne prenez même pas la peine de comprendre ce que vous essayez de protéger.
2. Laissez vos bases de données, en particulier celles qui contiennent des informations sur les cartes de crédit ou d’autres informations confidentielles, non chiffrées. Et assurez-vous de les stocker sur des serveurs accessibles au public.
3. Ne patchez pas vos logiciels, ne mettez pas à jour vos signatures de virus et n’effectuez jamais, au grand jamais, d’évaluations de vulnérabilité pour détecter les failles logicielles et les mauvaises configurations du système récemment découvertes. Cela prend trop de temps.
4. Lorsqu’un employé démissionne ou est licencié, laissez son identifiant réseau et son compte de messagerie activés. On ne sait jamais quand il voudra revenir voir ce qui se passe.
5. Ne créez pas de politiques et de procédures de sécurité qui documentent ce que vous protégez et comment vous le faites afin de préserver votre organisation et vos clients des catastrophes informatiques et des responsabilités juridiques.
6. Si vous avez des politiques de sécurité, ne vous y référez jamais, ne les appliquez pas, ne les mettez pas à jour et ne faites pas ce qu’elles disent.
7. Externalisez complètement vos démarches de sécurité de l’information. Il n’est pas nécessaire que quiconque au sein de votre organisation se préoccupe de ces questions.
8. Ne faites surtout pas l’inventaire de vos systèmes d’information ou la documentation de votre réseau.
9. Appliquez le principe du plus grand privilège. Donnez à tous les utilisateurs le plus grand nombre d’accès à vos systèmes d’information. Tout le monde doit avoir accès à tout, c’est normal, non ?
10. Reposez-vous uniquement sur la technologie. Les pare-feu, le chiffrement et les logiciels antivirus sont tout ce dont vous avez besoin pour protéger vos informations.
11. Dirigez votre entreprise sans plans de continuité des activités et de réponse aux incidents de sécurité. Après tout, vous pouvez penser clairement et prendre des décisions critiques sous pression, n’est-ce pas ?
12. Ne surveillez pas vos systèmes. Ils se débrouilleront très bien tout seuls, et si quelque chose d’important se produit au niveau de l’intégrité ou de la disponibilité de vos informations, vous en serez automatiquement informé, n’est-ce pas ?
13. Ne sauvegardez pas vos données, mais si vous devez le faire, ne testez pas vos sauvegardes. Laissez également vos supports de sauvegarde sur place, de préférence au-dessus d’un système d’alimentation sans coupure ou d’un écran d’ordinateur, afin que leurs émissions électromagnétiques puissent « masser » les données pour les garder fraîches et sécurisées.
14. Laissez vos systèmes d’exploitation et vos applications logicielles avec les paramètres par défaut. Le renforcement du système c’est sans intérêt.
15. Répondez aux attaques de pirates, aux virus et aux autres intrusions au fur et à mesure qu’ils se produisent – ne prenez pas les devants pour y faire face.
16. Utilisez des mots de passe composés du nom de votre animal de compagnie, de votre nom, du nom de jeune fille de votre mère ou de votre date de naissance. Ainsi, vous ne risquez pas de les oublier. Mieux encore, utilisez simplement « motdepasse » pour vos mots de passe. N’oubliez pas non plus de les écrire et de les afficher sur votre écran ou votre clavier.
17. Ne vous abonnez pas aux bulletins de sécurité et aux listes de diffusion, et ne lisez jamais de magazines spécialisés dans la sécurité de l’information.
18. Laissez vos serveurs et votre équipement réseau dans une pièce à laquelle tout le monde, de complets inconnus y compris, a accès.
19. Ne formez pas vos utilisateurs sur vos politiques de sécurité et sur ce à quoi il faut faire attention, comme les pièces jointes d’e-mails non sollicités et les activités habituelles des pirates informatiques. Vos utilisateurs ne peuvent pas être surchargés de formations supplémentaires.
20. Ignorez toutes les meilleures pratiques connues et les normes internationales de sécurité de l’information de l’International Standards Organization, de l’Internet Engineering Task Force, du SANS Institute et de votre consultant local en sécurité de l’information, pour n’en citer que quelques-uns.
Et enfin…
21. N’impliquez en aucun cas votre direction générale dans les démarches de sécurité de l’information. Ils sont axés sur les affaires et ne devraient pas être dérangés ou même se soucier de la technologie ou des responsabilités associées à leurs informations, n’est-ce pas ?
Si vous suivez ces pratiques, vous ferez en sorte que vos systèmes informatiques soient un havre de paix pour les pirates, les virus, les employés mécontents et autres. Vous pourrez vous rendre au travail chaque jour avec un sentiment d’excitation en sachant qu’il y a de fortes chances que les données de votre entreprise aient disparu à votre arrivée. Ce n’est qu’une question de temps – et oui, c’est vraiment aussi simple que cela.
Kevin Beaver’s Security Blog The 21 Best Ways to Lose Your Information – publié à l’origine sur https://www.computerworld.com/article/2587274/the-21-best-ways-to-lose-your-information.html – Copyright © 2002 IDG Communications, Inc.
Connaissez-vous nos services ?
Nous vous proposons des solutions pour renforcer la sécurité de vos informations sur les trois piliers que sont les processus, la technologie et les personnes.