RSSI : 10 erreurs de sécurité à éviter absolument

Systèmes critiques de l’entreprise qui s’effondrent, mauvaise prise en compte d’un événement de sécurité crucial : ces dérapages peuvent compromettre sérieusement la carrière d’un responsable de la sécurité.

error message on computerIl est encore très rare que des responsables de la sécurité informatique se fassent renvoyer pour faute professionnelle, mais certaines situations peuvent incontestablement les pousser plus près de la sortie. Faire confiance à ses compétences, appliquer les directives de l’entreprise, et se concentrer sur l’essentiel permet, selon certains, de s’assurer une longue carrière dans la sécurité informatique. S’il aide l’entreprise à établir un bon niveau de défenses et à les positionner aux bons endroits, le responsable informatique sera adulé. Mais s’il commet une seule des 10 erreurs suivantes, il devra sans doute envisager de postuler dans une autre entreprise.

Erreur n° 1 : Mettre à mal les fonctions critiques de l’entreprise

Si, par inadvertance, le responsable de la sécurité stoppe une fonction d’affaire critique pendant plus d’un ou deux jours pour installer un nouveau système de sécurité ou mettre en place un nouveau dispositif, il risque de se retrouver très rapidement au chômage, plus vite qu’il ne faut pour remettre d’aplomb le réseau. C’est le B.A BA du métier.

Conseil : savoir ce qui est essentiel pour l’entreprise et ne jamais interrompre les process, sauf si l’absence de réaction peut entraîner des dommages plus importants.

Erreur n° 2 : Éviter de compliquer la vie du CEO

Certains CEO s’en prennent aux professionnels de la sécurité, simplement parce qu’ils leur demandent de changer le mot de passe de leur ordinateur ou de renouveler le mot de passe d’une application à haut risque. La plupart des CEO veulent ouvrir leur ordinateur portable, cliquer sur une icône, et avoir accès à tout facilement, peu importe la sécurité. Toute personne en charge de la sécurité informatique qui a travaillé en direct avec un CEO en a fait l’expérience.

Conseil : faciliter autant que possible les accès du CEO au SI en maintenant les niveaux de sécurité requis.

Erreur n° 3 : Ignorer un événement de sécurité critique

Le management donne toujours la préférence aux fonctions critiques de l’entreprise et fait passer la sécurité au second plan. Du moins, tant que la sécurité n’a pas d’impact sur les fonctions critiques. Dans ce cas, le balancier oscille rapidement, et les têtes de ceux qui font du « business as usual » pendant que les actifs de l’entreprise étaient pillés, tombent rapidement.

Conseil : Identifier les événements de sécurité critiques qui peuvent révéler une activité malveillante, toujours les analyser à fond quand ils se produisent. Il n’est pas possible de pister chaque faux positif potentiel. Il faut reconnaître les plus nocifs et assurer une diligence raisonnable.

Erreur n° 4 : Prendre connaissance de données confidentielles

Si le CEO est le roi de l’entreprise, l’administrateur réseau est le roi du réseau. Ayant accès à tout ce qui se passe sur leur réseau, de nombreux administrateurs peuvent parfois accéder des données qu’ils ne sont pas autorisés à consulter. En langage militaire, il faut disposer de l’accréditation appropriée et faire partie du cercle de ceux « qui ont besoin de savoir ». Voilà pourquoi certaines entreprises externalisent la messagerie de la direction générale.

Conseil : Le responsable de la sécurité ne doit pas accéder aux données pour lesquelles il ne dispose pas d’autorisations valides. Il doit aider les propriétaires de ces données à chiffrer leurs données confidentielles avec des clefs auxquels il n’a pas accès.

Erreur n° 5 : Porter atteinte à la vie privée d’un salarié

Porter atteinte à la vie privée d’une personne est un autre moyen infaillible de perdre son job, peu importe la nature et l’importance de l’intrusion.

Conseil : Aujourd’hui, la confidentialité est l’un des principaux problèmes de la sécurité informatique. Jusqu’à récemment, tout le monde, ou presque, tolérait que des administrateurs ayant accès à un système particulier puissent voir occasionnellement des données qu’ils n’étaient pas censés voir. Ces temps sont révolus. Aujourd’hui, les systèmes enregistrent tous les accès, et chaque employé doit savoir que s’il accède à une seule donnée qu’il n’est pas autorisé à voir, il sera repéré et éventuellement sanctionné.

Erreur n° 6 : Utiliser des données réelles pour tester les systèmes

Lors de l’essai ou de la mise en œuvre de nouveaux systèmes, le responsable de la sécurité doit créer des données tests. L’une des façons les plus simples est de copier ou de mettre en réserve un sous-ensemble de données réelles. C’est ce qu’ont fait des milliers d’équipes d’application pendant des lustres. Mais désormais, utiliser des données réelles dans les systèmes de test peut être source de sérieux ennuis, surtout si l’administrateur a oublié de leur appliquer les mêmes règles de confidentialité.

Conseil : Créer de fausses données pour les systèmes de test, masquer certaines informations ou renforcer les systèmes de test accueillant les données réelles comme l’administrateur le ferait pour tout système de production.

Lire la suite 

Source : http://www.lemondeinformatique.fr/actualites/lire-rssi-10-erreurs-de-securite-a-eviter-absolument-63475.html

Comments are closed.