.: Sommaire :.
L'informatique a depuis toujours été le lieu de stockage d'informations
plus ou moins importantes. Et qui dit information dit convoitises ... hors
depuis l'avènement du réseau et sa démocratisation, la sécurité informatique
est un sujet qui fait couler beaucoup d'encre ... que ce soit pour dire
qu'elle n'est pas suffisante ou bien trop contraignante !!!
J'espère que vous trouverez dans les conseils suivants de quoi apporter de l'eau à votre moulin !
J'espère que vous trouverez dans les conseils suivants de quoi apporter de l'eau à votre moulin !
De mon point de vue, la sécurité informatique n'est pas quelque chose qui
doit être imposé par un quelconque RSSI (Responsable Sécurité des Systèmes
d'Information), mais bien comprises et assimilée par tous. En effet, pour
qu'elle ait une quelconque chance d'être correctement appliquée, la sécurité
ne doit pas être vécue comme une contrainte. Au contraire, elle doit
apporter des solutions adéquates et conformes aux besoins sécuritaires des
informations concernées. J'espère que vous trouverez dans les lignes qui
suivent de quoi vous convaincre ...
Pour commencer que diriez d'un petit exemple simple ? Votre botte de beurre, il ne vous est jamais venu à l'esprit qu'elle n'était pas bien dans votre réfrigérateur ? Vous n'avez jamais eu l'idée de la mettre dans une pièce équipée d'une porte en acier trempé avec clé infalsifiable pour la protéger ? Pourquoi ? Tout simplement parce qu'elle n'en vaut pas le cout ! Non pas que vous n'en n'ayez pas besoin, mais si un jour elle vous fait défaut, vous pouvez toujours l'ajouter dans votre liste de course ... Il devrait en être de même pour les régles de sécurité informatique :
Pour commencer que diriez d'un petit exemple simple ? Votre botte de beurre, il ne vous est jamais venu à l'esprit qu'elle n'était pas bien dans votre réfrigérateur ? Vous n'avez jamais eu l'idée de la mettre dans une pièce équipée d'une porte en acier trempé avec clé infalsifiable pour la protéger ? Pourquoi ? Tout simplement parce qu'elle n'en vaut pas le cout ! Non pas que vous n'en n'ayez pas besoin, mais si un jour elle vous fait défaut, vous pouvez toujours l'ajouter dans votre liste de course ... Il devrait en être de même pour les régles de sécurité informatique :
Garder en tête le degrés d'importance des informations que l'on souhaite protéger et par conséquent l'importance des mesures qu'il convient de leur appliquer ...
Une fois que vous avez bien défini ce que vous souhaitez protéger et avec quels degrés de protection, il est important de bien gauger les implications quotidiennes, au sein de votre organisation, de chaque mesure. En effet, si les collaborateurs doivent passer plus de temps a s'authentifier qu'a être productif parce que vous avez mal évaluer les contraintes d'accès à tel ou tel document, je ne suis pas sur que vous ayez vraiment gagné votre pari !... bien évaluer l'impact des mesures sur le travail quotidien des collaborateurs ...
Dès les mesures arrêtées et leurs impacts évalués, il faut prévoir la campagne d'explication du pourquoi des changements demandés. C'est souvent un point négligé, alors que de mon point de vu c'est primordial. Il est en effet important que chaque collaborateur prenne conscience de son rôle dans la politique mise en place.... prévoir des scéances d'explication des mesures de sécurité et du rôle de chacun dans cette politique afin d'assurer la réussite de sa mise en place.
Beaucoup de politique de sécurité sont basées sur des mots de passe.
Afin d'augmenter la sécurité des accès, souvent le premier réflexe des
décideurs est d'augmenter la complexité des mots de passe (longueur et types
de caractères) mais aussi le nombre d'anciens mot de passe mémorisés
et de réduire le délai de renouvellement ! C'est en effet "théoriquement" une
bonne solution. En pratique, le mot de passe devient souvent "fragile" car
les utilisateurs ont du mal à trouver des mots de passe "solide" et de ce
fait il "atterri" souvent sur un post-it coller près du poste de travail.
Dans ce cas, on peut vraiment se demander si on a gagné au niveau sécurité !
Pour pouvoir mémoriser son mot de passe, plusieurs astuces mnémotechniques existent. Créer une phrase et prendre le premier caractère de chaque mot la composant pour définir le mot de passe. "La suite qui contient un # est plus sure", pourra ainsi donner Lsqc1#eps. Grâce à cette méthode, en partant d'une simple phrase, vous obtenez un mot de passe robuste.
La méthode phonétique peut également être employée. Ce sont alors les sons de chaque syllabe d'une phrase qui constitueront le sésame. Les adeptes des SMS seront ravis ... Exemple donné par le CERTA à la direction centrale de la sécurité des systèmes d'information : "J'ai acheté huit CD pour cent euros cet après midi". La phrase donne ainsi "ght8CD%E7am".
Trouver le bon compromis entre compléxité, délai de renouvellement et mémorisation des anciens mots de passe ...
Une fois ces trois paramètres mis en adéquation avec les contraintes de l'entreprise, il convient de communiquer sur la nécessité pour tous de choisir une mot de passe "fort" (selon les experts il doit "avoir une longueur minimale de 8, voir 10, caractères, comprendre des caractères d'au moins 3 catégories différentes : chiffres, lettres, caractères spéciaux - %, #, :, $, *, @ - et majuscules/minuscules").Pour pouvoir mémoriser son mot de passe, plusieurs astuces mnémotechniques existent. Créer une phrase et prendre le premier caractère de chaque mot la composant pour définir le mot de passe. "La suite qui contient un # est plus sure", pourra ainsi donner Lsqc1#eps. Grâce à cette méthode, en partant d'une simple phrase, vous obtenez un mot de passe robuste.
La méthode phonétique peut également être employée. Ce sont alors les sons de chaque syllabe d'une phrase qui constitueront le sésame. Les adeptes des SMS seront ravis ... Exemple donné par le CERTA à la direction centrale de la sécurité des systèmes d'information : "J'ai acheté huit CD pour cent euros cet après midi". La phrase donne ainsi "ght8CD%E7am".
... proposer aux utilisateurs des méthodes pratiques et rapides pour obtenir des mots de passe "forts" ...
Enfin, une fois tout ceci bien compris et mis en place, il convient de rappeler aux utilisateurs qu'il ne faut JAMAIS donner son mot de passe (même à ce cher administrateur système et réseau) et surtout pas au téléphone !... et surtout ne JAMAIS donner son mot de passe à un tiers.
Quelques articles pour étayer cet argumentaire et vous donner quelques pistes :
Sensibiliser les personnes au fait que leur session
peut donner accès à des informations sensibles et donc tous.
Toujours verrouiller sa session lorsque l'on laisse son poste sans surveillance.
Il est important d'un point de vue sécuritaire de pouvoir donner à chacun
le droit de faire ce dont il a besoin et uniquement ce dont il a besoin, mais
aussi à postériori savoir qui a fait quoi. Ceci non pas dans une logique de
répression, mais bien de sécurité.
Pour cela, il est important sur les serveurs de limiter au maximum les besoins d'accès via des comptes "anonymes" que sont les comptes "Administrateur", "root", ... Il serait en effet, de mon point de vue, mal venu de reprocher à un développeur d'avoir effacer par mesgarde un fichier "méga stratégique" sur le serveur parce qu'il avait tous les droits du fait que la seule façon qu'il avait de se connecter au serveur était le compte administrateur !
Pour cela, il est important sur les serveurs de limiter au maximum les besoins d'accès via des comptes "anonymes" que sont les comptes "Administrateur", "root", ... Il serait en effet, de mon point de vue, mal venu de reprocher à un développeur d'avoir effacer par mesgarde un fichier "méga stratégique" sur le serveur parce qu'il avait tous les droits du fait que la seule façon qu'il avait de se connecter au serveur était le compte administrateur !
Eviter au maximum les besoins de connexion via des comptes anonymes comme "Administrateur", "root", mais plutôt donner les droits nécessaire à chaque utilisateur ou groupe d'utilisateur.
