Il est encore très rare que des responsables de la sécurité informatique se fassent renvoyer pour faute professionnelle, mais certaines situations peuvent incontestablement les pousser plus près de la sortie. Faire confiance à ses compétences, appliquer les directives de l’entreprise, et se concentrer sur l'essentiel permet, selon certains, de s’assurer une longue carrière dans la sécurité informatique. S’il aide l’entreprise à établir un bon niveau de défenses et à les positionner aux bons endroits, le responsable informatique sera adulé. Mais s’il commet une seule des 10 erreurs suivantes, il devra sans doute envisager de postuler dans une autre entreprise.
Erreur n° 1 : Mettre à mal les fonctions critiques de l'entreprise
Si, par inadvertance, le responsable de la sécurité stoppe une fonction d’affaire critique pendant plus d’un ou deux jours pour installer un nouveau système de sécurité ou mettre en place un nouveau dispositif, il risque de se retrouver très rapidement au chômage, plus vite qu’il ne faut pour remettre d’aplomb le réseau. C’est le B.A BA du métier.
Conseil : savoir ce qui est essentiel pour l’entreprise et ne jamais interrompre les process, sauf si l’absence de réaction peut entraîner des dommages plus importants.
Erreur n° 2 : Éviter de compliquer la vie du CEO
Certains CEO s’en prennent aux professionnels de la sécurité, simplement parce qu'ils leur demandent de changer le mot de passe de leur ordinateur ou de renouveler le mot de passe d’une application à haut risque. La plupart des CEO veulent ouvrir leur ordinateur portable, cliquer sur une icône, et avoir accès à tout facilement, peu importe la sécurité. Toute personne en charge de la sécurité informatique qui a travaillé en direct avec un CEO en a fait l’expérience.
Conseil : faciliter autant que possible les accès du CEO au SI en maintenant les niveaux de sécurité requis.
Erreur n° 3 : Ignorer un événement de sécurité critique
Le management donne toujours la préférence aux fonctions critiques de l'entreprise et fait passer la sécurité au second plan. Du moins, tant que la sécurité n’a pas d’impact sur les fonctions critiques. Dans ce cas, le balancier oscille rapidement, et les têtes de ceux qui font du « business as usual » pendant que les actifs de l’entreprise étaient pillés, tombent rapidement.
Conseil : Identifier les événements de sécurité critiques qui peuvent révéler une activité malveillante, toujours les analyser à fond quand ils se produisent. Il n’est pas possible de pister chaque faux positif potentiel. Il faut reconnaître les plus nocifs et assurer une diligence raisonnable.
Erreur n° 4 : Prendre connaissance de données confidentielles
Si le CEO est le roi de l'entreprise, l'administrateur réseau est le roi du réseau. Ayant accès à tout ce qui se passe sur leur réseau, de nombreux administrateurs peuvent parfois accéder des données qu'ils ne sont pas autorisés à consulter. En langage militaire, il faut disposer de l’accréditation appropriée et faire partie du cercle de ceux « qui ont besoin de savoir ». Voilà pourquoi certaines entreprises externalisent la messagerie de la direction générale.
Conseil : Le responsable de la sécurité ne doit pas accéder aux données pour lesquelles il ne dispose pas d’autorisations valides. Il doit aider les propriétaires de ces données à chiffrer leurs données confidentielles avec des clefs auxquels il n’a pas accès.
Erreur n° 5 : Porter atteinte à la vie privée d’un salarié
Porter atteinte à la vie privée d'une personne est un autre moyen infaillible de perdre son job, peu importe la nature et l’importance de l’intrusion.
Conseil : Aujourd'hui, la confidentialité est l'un des principaux problèmes de la sécurité informatique. Jusqu’à récemment, tout le monde, ou presque, tolérait que des administrateurs ayant accès à un système particulier puissent voir occasionnellement des données qu’ils n’étaient pas censés voir. Ces temps sont révolus. Aujourd'hui, les systèmes enregistrent tous les accès, et chaque employé doit savoir que s’il accède à une seule donnée qu’il n’est pas autorisé à voir, il sera repéré et éventuellement sanctionné.
Erreur n° 6 : Utiliser des données réelles pour tester les systèmes
Lors de l'essai ou de la mise en œuvre de nouveaux systèmes, le responsable de la sécurité doit créer des données tests. L’une des façons les plus simples est de copier ou de mettre en réserve un sous-ensemble de données réelles. C’est ce qu’ont fait des milliers d'équipes d’application pendant des lustres. Mais désormais, utiliser des données réelles dans les systèmes de test peut être source de sérieux ennuis, surtout si l’administrateur a oublié de leur appliquer les mêmes règles de confidentialité.
Conseil : Créer de fausses données pour les systèmes de test, masquer certaines informations ou renforcer les systèmes de test accueillant les données réelles comme l’administrateur le ferait pour tout système de production.
Erreur n° 7 : utiliser les mêmes mots de passe dans l’entreprise et pour le web
Les pirates ont réussi beaucoup d’intrusions en utilisant les mots de passe utilisés sur le web par des salariés pour accéder à leurs données d'entreprise. Le plus souvent, la victime se fait piéger par une campagne de phishing : il clique sur un faux lien inclus dans le mail censé le rediriger vers Facebook, Twitter, Instragram ou autre. Ou encore, les pirates ont volé la base de données du site avec les mots de passe. Dans tous les cas, ces derniers sont en possession de mots de passe et ils savent que beaucoup d’internautes utilisent le même mot passe pour des comptes différents, y compris pour des accès entreprises. Et ils tentent toujours leur chance.
Conseil : S’assurer que tous les salariés comprennent le risque d’utiliser les mêmes mots de passe sur des sites web et dans l’espace sécurisé de l’entreprise.
Erreur n° 8 : Laisser des brèches « ANY ANY »
Certains seraient surpris du nombre de pare-feu autorisant tout type de trafic sans discrimination dans et à l’extérieur du réseau. C’est d’autant plus paradoxal que presque tous les pare-feu sont configurés par défaut avec des autorisations très restrictives, empêchant parfois une application de fonctionner. Et, si après de nombreux essais, elle ne fonctionne toujours pas, c’est le pare-feu qui est incriminé. C’est dans ces circonstances qu’est introduite la règle du « ANY ANY ». Or cette règle indique au pare-feu d’autoriser tout le trafic et de ne rien bloquer. En général, la personne qui demande ou établit cette règle ne le fait que de façon temporaire, le temps de comprendre si le pare-feu peut être ou non à l’origine du problème.
Conseil : Ne jamais appliquer de règle « ANY ANY ».
Erreur n° 9 : Ne pas changer les mots de passe administrateur
L’une des erreurs les plus courantes qui peuvent mettre en difficulté le responsable de la sécurité, c’est de conserver ses mots de passe administrateur pendant une trop longue période. Les audits de sécurité le confirment clairement : presque toutes les entreprises sont « protégées » par de multiples mots de passe vieux de plusieurs années, y compris les mots de passe administrateur.
Tous les manuels de sécurité informatique recommandent de changer tous les mots de passe sur une base périodique raisonnable. Dans la pratique, cela signifie tous les 45 à 90 jours. Les mots de passe d’administration et les mots de passe critiques doivent être plus forts et changés plus souvent que les mots de passe utilisateur. Dans la plupart des entreprises, les mots de passe administrateur sont longs et complexes, mais ils ne sont jamais changés.
Conseil : Changer périodiquement tous les mots de passe, en particulier ceux des comptes admin et des services. Toujours changer les mots de passe immédiatement après le départ de l’entreprise d’un responsable sécurité. Enfin, ne pas utiliser de comptes et de mots de passe admin pour les applications.
Erreur n° 10 : considérer toute vulnérabilité comme « très dangereuse »
Les collègues et les médias ne manqueront jamais de signaler les multiples vulnérabilités critiques qui risquent de paralyser le réseau et les systèmes de l’entreprise. Mais il faut de l'expérience et des compétences pour savoir à quel point elles menacent vraiment son réseau. Si le responsable de la sécurité réagit à chaque vulnérabilité comme si c’était une vulnérabilité majeure, certains vont se demander s’il connaît bien son job, s’il sait discerner les vraies menaces. Et il risque de ne pas être pris au sérieux, même s’il alerte l’entreprise sur une vulnérabilité à risque. Certes, crier au loup à chaque menace n’entraînera probablement pas la mise à l’écart du responsable de la sécurité, mais cela peut certainement réduire ses possibilités d’avancement à long terme.
Conseil : Bien hiérarchiser les vulnérabilités et ne pas compromettre sa crédibilité en lançant de fausses alertes qui font perdre du temps à ses collègues.
Commentaire