Résumer la sécurité en 10 principes ou actions n’est pas un exercice facile. Faites l’expérience et posez cette question à tous vos collègues. Je l’ai fais récemment et les réponses étaient pour le moins variées, du « trust no-one » jusqu’au « buy Netasq’s product ». Evidemment cette dernière réponse n’est pas la plus objective !

Les réponses techniques sont les plus simples à formuler (firewall, antivirus, antispam, scanner de vulnérabilité…) mais également les plus éloignées du quotidien des sociétés. En effet, la sécurité est un moyen et non un but, et elle doit être étudiée comme telle. Je vous livre donc ma vision des 10 actions « sécurité » les plus importantes ».


Action 1 : Impliquer la direction de l'entreprise

L'équipe de direction comporte les personnes les plus exigeantes en matière de productivité, et elle valide les budgets alloués à la sécurité. Ces deux raisons font de l'implication de la direction une priorité. En l'absence de soutien aux plus hauts échelons de l'entreprise, il est très probable que de nombreuses demandes demeurent bloquées à jamais.

Action 2 : Impliquer la direction informatique

La sécurité demande une forte collaboration de tous les services. Même si le responsable de la sécurité devrait toujours être indépendant de la direction informatique sur le plan hiérarchique, dans la majorité des cas, l'équipe sécurité fait partie du service informatique.

Il est donc indispensable que les mesures de sécurité soient adaptées aux contraintes de l'entreprise. La guerre entre sécurité et productivité ne doit pas avoir lieu.

Action 3 : Impliquer et informer tous les employés

Contrairement aux apparences, la majorité des attaques n'utilisent pas de « failles » informatiques. Un simple appel au standard suffit à obtenir des informations importantes voire le mot de passe d'un employé. 

Il n'y a aucune raison pour qu'un employé dans le secteur automobile, le domaine de la finance ou d'un autre domaine fasse attention à la sécurité si on ne lui a pas expliqué ce que cela signifie.

Action 4 : Rentabiliser les priorités

On oppose souvent sécurité et rentabilité. Pourtant, un responsable de la sécurité doit penser constamment à la rentabilité de ses actions. Répondre au risque le plus coûteux pour la société doit être une priorité. N'oublions pas qu'il faut convaincre la direction que les mesures souvent coûteuses que le responsable sécurité va prendre sont rentables.

S'il s'agit d'une société de e-commerce, imaginons combien coûte une heure pendant laquelle le site n'est pas disponible... A l'autre bout de la chaîne, imaginons l'impact de la perte des 5 dernières années de données contenues sur l'ordinateur d'un acheteur.

La rentabilité d'une bonne solution de sécurité est souvent indiscutable, mais il est toujours préférable d'évaluer le risque avant plutôt que de payer les conséquences de son absence.

Action 5 : Choisir les (bons) produits

Un bon produit de sécurité est un produit qui élève fortement le niveau de sécurité et qui préserve la productivité des employés. Il n'est utile que s'il est utilisé. Un produit compliqué à mettre en oeuvre finira immanquablement par ne plus répondre aux besoins de l'entreprise.

La technologie liée à la sécurité est importante, et certaines technologies sont indispensables à un bon niveau de sécurité : La prévention d'intrusion dite « zero day », l'analyse antivirale, la protection efficace contre le spam, etc. Tous les éditeurs de sécurité diront que leur produit est le meilleur.

Une comparaison point par point permettra de définir par exemple ce que signifie « zero day » pour chaque vendeur. Si le responsable sécurité en a la possibilité, le mieux est encore de faire comparer différents produits par une société qui ne sera pas impliquée dans l'achat.

Action 6 : Choisir les produits adaptés

Un produit s'achète pour plusieurs années, ce n'est pas spécifique à la sécurité. Il est nécessaire d'estimer le coût total de l'achat de ce produit pour une période de 3 ans, et pas simplement le prix du produit seul qui ne reflète pas le coût total.

Choisir un produit adapté à l'entreprise. Si le nombre d'employés double tous les 2 ans, il est préférable d'acheter un produit qui puisse supporter cette croissance de la demande.

Action 7 : La complexité est un ennemi

Ce conseil est général mais il s'applique particulièrement aux mesures qui concernent les utilisateurs. Par exemple, si l'on force tous les mots de passe à être robustes, on les retrouve écrit sous le clavier ou sur une tasse de café. Plusieurs méthodes permettent de choisir des mots de passe robustes et faciles à retenir.

Par exemple, « A4o,&o4a » parait suffisamment robuste mais difficile à retenir. Ce mot de passe est simplement extrait de la célèbre maxime des mousquetaires « All for one, and one for all » (All 4 one, & one 4 all). Il s'agit de trouver une méthode pour que la sécurité soit acceptée.

Action 8 : « Couper le câble »

La meilleure sécurité réseau consiste à être débranchée du réseau. Si une ressource doit être partagée, il faut en limiter l'accès aux seules personnes autorisées.

Cette règle de bonne conduite est moins simple qu'elle n'y parait. Les audits montrent qu'après le départ d'un employé, de nombreux accès restent ouverts plusieurs semaines voire plusieurs mois.

Action 9 : Surveiller les vulnérabilités

Le niveau de protection apporté par les solutions de sécurité a beaucoup évolué ces dernières années, mais l'application méthodique des correctifs sur les applications vulnérables reste nécessaire. Personne ne songerait à sortir en sous-vêtements sous prétexte qu'il est vacciné contre la grippe, alors pourquoi imposer cela à une entreprise ?

Action 10 : Ne pas oublier

Le niveau de risque évolue constamment : nouveaux virus, nouvelles failles, arrivée et départ d'employés, etc. L'achat d'un produit n'est pas la fin d'une démarche, mais sa ligne de départ. Améliorer ses connaissances et tester régulièrement la sécurité de l'entreprise est nécessaire. C'est de cette manière que l'entreprise restera en sécurité.