37) Considérer les solutions de sécurité comme sécurisées. Ces dernières,
au même titre que n'importe quelle application, peuvent connaître des vulnérabilités
susceptibles d'être exploitées. En outre, elles peuvent inclure des défauts de
conception. C'est notamment le cas des nouveaux types de logiciels, trop peu matures,
comme par exemple ceux de protection contre les fuites de données.
38) Ne pas vérifier les champs de saisie d'une application Web. Toutes
les entrées possibles du programme doivent être évaluées exhaustivement, même
celles qui ne devraient pas arriver. Une règle valable pour tout service Web connecté
à Internet, et pour lequel sont associées des données confidentielles, personnelles
ou sensibles. Un oubli à cette règle et l'injection SQL ou le Cross Site Scripting
sont tout de suite vos pires ennemis.
39) Croire que le produit fait la sécurité. Celle-ci tient avant tout
à des processus et non à des logiciels.
40) Ne pas former les développeurs à la sécurité. Sont également valables
pour les concepteurs de logiciels, le fait de négliger les retours ou erreurs
de fonctions, de croire que la documentation est accessoire ou de chercher à économiser
des caractères dans son code source.
41) Ne pas auditer le code source d'applications dont le développement
a été externalisé. Un serveur Web développé en spécifique pourrait ainsi
contenir des vulnérabilités exploités par des pirates pour accéder aux données.
42) Penser que si un logiciel ne comporte pas de vulnérabilités connues,
c'est qu'il en est exempt. Il est possible que des vulnérabilités soient connues
de très peu de personnes et n'aient pas été rendues publiques. Il convient donc
d'appliquer les filtrages nécessaires à tous les équipements ou logiciels afin
de ne pas faciliter l'avancée d'un pirate dans le SI, si celui-ci s'est discrètement
arrogé des droits sur un élément.
43) Se dire qu'avec les configurations par défaut on gagne du temps sans
prendre de risque. Celles-ci sont souvent fonctionnelles, mais pas sécurisées.
44) Ne pas tenir une liste des logiciels, de l'état des mises à jour, d'inventaire
de ses machines et services associés, ou encore de la cartographie de son réseau.
Il est très simple de se perdre dans son propre réseau sans ces outils de base
alors qu'à l'inverse, faire le travail de mise à jour régulièrement ne prend que
peu de temps et peu en faire gagner énormément.
