Voici une liste des menaces les plus graves pour la sécurité de l’entreprise ou plutôt 3 bonnes résolutions qui devraient permettre d’améliorer la sécurité et minimiser l’impact des prochains « top 10 des attaques ».

1 - Se méfier de l'installation « transparente »

Installer une solution de sécurité en entreprise n'est pas toujours une sinécure. La priorité demeure à juste titre la productivité de l'entreprise. L'ajout d'un équipement qui risque d'impacter l'efficacité des équipes, est généralement très surveillé.

Il faut donc connaître parfaitement les besoins de l'entreprise et son architecture, ce qu'elle-même ignore parfois. Il faut également choisir une solution adaptée, la maîtriser parfaitement puis prendre le temps nécessaire aux réglages afin de maximiser la sécurité et minimiser son impact sur l'entreprise.

Comme tout cela est souvent trop long ou trop couteux, les différents maillons de la chaîne se sont adaptés pour que le client soit satisfait. Malheureusement, cet objectif de réaliser une installation transparente pour le client se fait aux dépens de la partie immergée de l'iceberg : la sécurité.

D'une part, une majorité de constructeurs fournissent des solutions « Plug-n-Play », (traduire par « toute sécurité désactivée »), ce qui limite le risque de blocage durant l'installation [1]. D'autre part, certains « installateurs » ont également leurs astuces pour « optimiser » la durée de leur prestation. Malheureusement, les clients sont rarement avertis de ces réglages et pensent, à tort, être protégés.

L'illusion de sécurité est souvent le pire danger pour l'entreprise, et la volonté de réaliser une installation transparente est un allié involontaire mais redoutable pour toute personne qui cherchera à s'attaquer à une entreprise en 2008.

2 - Eviter les concessions du silence

Derrière ce titre énigmatique se cache une menace bien réelle qui bénéficie des brèches ouvertes par l'installation transparente citée plus haut. Cette expression désigne toutes les libertés implicitement laissées aux employés en absence de règles établies clairement.

Prenons un exemple : de nombreuses entreprises bloquent l'accès aux serveurs de messageries instantanées, mais très peu vont au-delà de cette simple protection technique. Elles n'expriment ni l'interdiction faite de se servir de cet outil de communication, ni les raisons de cet interdit. De nombreux administrateurs se fient uniquement à cette protection technique.

Que faire d'autre ?

Ecrire, maintenir et faire accepter de tous une charte des comportements autorisés. La différence est d'importance car ce document lie l'employé et l'entreprise. Une charte définit les comportements autorisés et met l'employé face à sa responsabilité en cas de problème. Plus important, sa présence informe les employés des risques qu'ils pouvaient ignorer et les incitent à respecter les règles.

En gardant le silence, l'entreprise laisse la place à l'interprétation : l'employé qui contourne la protection en utilisant une version « webisée » de son client de messagerie instantanée est-il en infraction ?

Celui qui synchronise tous ses contacts commerciaux sur son téléphone et qui le week-end télécharge la dernière version « gratuite » des cartes GPS prend évidemment un risque de sécurité, mais peut-il en avoir conscience et est-ce son rôle ?

La prolifération des périphériques (PDAs, baladeurs MP3, téléphones Internet, etc.) a multiplié les risques pour l'entreprise qui ne doit pas garder le silence sous peine de subir une attaque dont elle aura bien du mal à identifier l'origine.

3 - Repérer les fausses économies

Chaque administrateur doit tenir son budget, c'est une nécessité qui ne peut être contestée. Sans remettre en cause ce principe, il est souvent étonnant de constater qu'un choix technologique clairement exprimé est finalement laissé de côté pour réaliser des économies dont le montant peut surprendre.

Le coût d'un incident pour une entreprise est rarement inférieur à 500 € et ce, simplement en comptabilisant le temps passé pour revenir à une situation normale. Les fausses économies sont souvent l'oeuvre des constructeurs ou des revendeurs : pack « 1 an tout-inclus » à un prix imbattable qui occulte des prix de renouvellement bien plus douloureux ; forfait installation-formation d'une demi-journée suivie d'appels surtaxés à une ligne support saturée. Les prescripteurs techniques sont souvent insuffisamment écoutés aux dépens d'un profit à très court terme.

On pourrait facilement prolonger ces exemples par d'autres mais à eux seuls, ces 3 points ciblent des menaces extrêmement graves, qui resteront plus que jamais d'actualité en 2008. Une dernière question mérite cependant d'être soulevée avant de se préparer aux menaces de cette année 2008 : tous les risques de 2007 ont-ils été gérés ? Détecter et corriger rapidement les vulnérabilités reste une démarche confidentielle dans les PME et c'est peut être là, finalement, la plus grande menace de cette année.


[1] Exemple d'installation transparente avec Mac OS X Leopard : http://www.news.com/8301-10784_3-9807471-7.html