Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Comment gérez vous la sécurité informatique, quels sont vos critères ?
On entend par sécurité informatique un tas de chose :
- Une application stable
- Une application qu’on ne sait outrepasser
- Un système fiable (avec argument)
- Une gestion véritable du poste
- Autre chose
Bref, la sécurité parlons en !
Comment gérez vous la sécurité, quels sont vos critères ?
La plupart du temps, un problème de sécurité sur un logiciel a un impact financier mais il ne faut pas oublier aussi qu'un problème peut remettre en cause la sécurité de personnes.
Tout ça pour dire que les critères de fiabilité dépendent de la question "Que peut il se passer de pire si le logiciel a un défaut ?"
A mon avis, la sécurité vient surtout d'une envie plus ou moins grande de mettre en place une politique de sécurité au sein d'ne entreprise.
Si cette politique de sécurité existe et qu'elle est bien faite, elle se doti de couvrir de très nombreux domaines, du changement régulier et obligatoire des mots de passe au développement d'application sécurisée (code "défensif"), sans oublier la bonne configuration des machines.
Je suis actuellement en train de developper un logiciel de sécurité justement, et en fait, si le client a demandé cela, c'est parce qu'il s'est apercu qu'il y avait de nombreuses connexions en root sur ses machines (Unixoïdes). Choses qu'une politique de sécurité performante aurait dû interdire, mais qui n'est visiblement pas quelque chose de prioritaire...
Petite annecdocte.
Perso sur mon ordi j'ai anti-virus, firewall, anti-spyware and co ... je vais pas tous les lister.
Ordi super bien protégé, jamais de virus dessus...
Mais quelle joie quand un personne de votre entourage n'a pas toutes ses protection, se trouver avec le virus Mydoom...
Résultat : 4 à 5 spams par jours Mailer-daimon, ou nor-reply...
Le probléme va etre réglé en installant un anti-virus sur l'ordi infesté en question mais combien de personnes surfes sans protection ? et sans rien n'y connaitre ?
Rien qu'à ce niveau là, il serait utile de faire de l'information
Dans une entreprise c'est pareil. Si les employés ont des infos, ils pensent à mettre leur anti-virus à jours à nettoyer réguliérement leur ordi ca peut aller mais si aucune bonne volonté n'est mise en oeuvre, pas facile de gérer tout ?
Je voudrais parler d'un point précis de ta phrase : le changement régulier des mots de passe. Je vais vous étonner mais... je suis contre ! Et pourtant je suis admin réseau et systèmeEnvoyé par gangsoleil
Pourquoi ? Tout simplement à cause du facteur humain, que souvent les informaticiens et ingénieurs ne prennent pas assez en compte. Oui, idéalement tout le monde devrait avoir des mots de passe complexes et les changer à la limite tous les jours. Mais humainement, vous savez tous comment ça se passe : on a besoin de mots de passe et de codes pour plein de trucs, pas seulement informatiques (carte de banque, code pin, code d'alarme, etc.) et donc bien souvent on a un jeu de 3 ou 4 mots de passe qu'on emploit... partout. Et si tous ces mots de passe doivent changer constamment et qu'en plus il y a des exigences de complexité pour éviter les mots simples... on ne s'en sort plus ! Résultat : on se retrouve avec des gens qui finissent par prendre des mots de passe qui n'ont plus aucune signification pour eux (Abc123Def) et les notent sur un post-it sur l'écran... ce qui est évidemment une faille énorme ! Mais cette faille est la conséquence d'une politique de sécurité beaucoup trop contraignante dans bien des sociétés. Trop de sécurité tue la sécurité, dans ce cas précis j'en suis convaincu. Si on demande aux gens simplement un mot de passe d'une longueur minimale et qu'on ne les oblige pas à changer constamment, ils auraient beaucoup plus facile à le retenir et ne le noteraient donc pas, ni ne prendraient des mots de passe trop "bebêtes"... Je serais d'ailleurs curieux de savoir combien d'admin s'appliquent réellement les mêmes exigences de mot de passe qu'ils imposent à leurs utilisateurs...
Pour moi cette mesure est un leurre car elle donne un faux sentiment de sécurité; au contraire je la trouve hautement dangereuse.
idem qu'ovh.
chez nous comme y a pas d'admin réseau qui s'occupent sérieusement des mots de passe ( sessions nt ), on a du bol de ne pas pouvoir les changer tous les x fois. tant mieux, car rien qu'aux retours de vacances, il y en a déjà pas mal qui oublient leur mot de passe et viennent me demander de le réinitialiser. Même moi l'année dernière j'avais complètement oublier mon password pour entrer dans une session SAP, par contre SAP est géré à la maison mère, et tous les 3 mois, on doit changer de mot de passe, je dois dire que c'est super chiant car j'ai un jeu d'environ 7 ou 8 mots de passe mais SAP lui retient les 5 derniers mots de passe, donc souvent faut en trouver un nouveau, ça m'énerve. Dans ma boîte, il n'y a pas de politique de sécurité propre, à part gérer les répertoires du réseau, c'est tout. Et encore, avec le référentiel qualité, on va être amener à renforcer notre sécurité, ca va fout' le bordel plutôt qu'autre chose, d'ailleurs ca a deja commencer, mon chef commence deja a gueuler contre le responsable qualite a cause de ca. Pour les applicatifs, meme combat que pour le réseau.
là ou je travaille, la stratégie sur les mots de passes a engendré exactement ce que décrit Ovh, voila ce qui avait été défini par les personnes info :
- minimum 8 car.
- au moins 1 majuscule
- au moins 1 chiffre
- au moins 1 minuscule
changement tous les 3 mois et impossible de ré-utilisé l'un des 12 derniers mot de passes (à raison de 3 mois, ça fait quand même 3 ans de mot de passe
Moralité, 80% des gens l'ont noté quelque part.
Certes, je suis d'accord pour dire que si l'on pousse trop loin les règles de sécurité, il y a de très fortes chances pour que cela ait des conséquences néfastes, comme le fait de noter un mot de passe sur un papier sur l'écran...
Ceci dit, je pense qu'il serait nécessaire de former l'intégralité du personnel d'une entreprise sur la sécurité, et pas seulement les ingénieurs réseaux et/ou les développeurs (cela serait égelemnt vrai pour les particuliers, mais c'est plus complexe à mettre en place).
Une bonne politique de sécurité se base avant tout sur une prise de conscience globale des dangers, et des protections simples à mettre en oeuvre par tout un chacun (ne pas écrire sont mot de passe sur l'écrna, mais aussi ne pas le donner à n'importe qui, etc ...)
D'ailleurs, je suis surpris du faible nombre de gens ayant ne serait-ce que de vagues notions de sécutité au sein des entreprises que j'ai pu fréquenter ou dont j'ai pu entendre parler, alors que ces mêmes entreprises sont obnubilées par cette sécurité...
Je pense qu'il n'y a pas en fait de culture de la sécurité proprement dites.
Partie utilisateur Lambda.
A chaque fois, on voit le même refrain :
Jour J: Votre responsable s'est levé du mauvais pied. Il a pas eu ces oeufs aux bacons ce matin.... la rage...alors il lance une grande campagne pour sécurisé tous les mots de passe. On fait la moral aux utilisateurs... On rale dessus... "Mouaahahaha, son mot de passe , trop siiiiiimple!"
J + 15 : tout le monde a oublié parce qu'on a essayé de bourrer le crane des gens sans prise de conscience.
Donc Oui, il faut apprendre aux gens la gestion de la sécurité mais une sécurité douce et continue. Savoir créer un bon mot de passe s'apprend simplement et même, allons y, par jeu! Raler sans cesse ne sert à rien.
Je me suis déjà amusé à montrer à des utilisateurs en combien de temps, on démonte leur mots de passe. Ils sont toujours étonnés.. Bah oui, mais mettre le nom de ces deux enfants accolés...
Changer le mot de passe tous les 3 mois pour un utilisateur... pas la peine a mon avis. De retour des vacances d'été? Utilisons justement cela pour leur glisser un nouveau mot de passe. Ils sentiront moins le changement. Futé l'admin
Une politique sécuritaire agressive et trop rapide ne sert à rien... Ca empire même. Il faut aller doucement! N'oublions pas, les utilisateurs utilisent. Pour eux, la sécurité, c'est notre problème, pas le leur !
Les Unixoïdes :
Pour la sécurité des serveurs unixoïdes, il y a des choses à éviter... le rlogin chainé entre tous les serveurs... c'est très... comment dire.... à chier (c'est du déjà vu hein!).
Pour le mot de passe root, je suis d'avis à effectuer un algorithme simple mais efficace de changement périodique. On peut prendre, par exemple, le calendrier : le numéro de la semaine, la date du premier samedi du mois(*sifflote*),...etc. Plein de combinaisons simples mais je pense efficace.
L'utilisation de sudo est aussi très importante.
Un log des connexions en root est aussi indispensable à mon avis.
Plein de petits scripts peuvent avertir des actions entrepris par certains utilisateurs maladroits (allo? j'ai effacé tout mon répertoire home) ou privilégiés (sudo)
La sécurité des données :
Il est sur qu'une politique de sauvegarde claire doit être mis en place, validée et Vérifiée. Ca sert à rien de faire des sauvegardes si le jour J, on est incapable de les utiliser. Je pense qu'un exercice, une fois par an est vital. Tous les 6 mois si la politique est très mouvante.
On arrive le matin. On prend le serveur de test (identique à la prod hein!) et on descend les sauvegardes, des applis...suivant la belle documentation élaborée précédemment, puis on fait valider par les Responsables d'applications et ... on va se prendre un bon café (c'est vital le café!).
Pour la partie programmation et les machines windosiennes, je préfère ne rien dire, je n'ai pas assez d'expériences dans ce domaine.
C'est clair ! entre ceux qui notent leurs codes dans un carnet à coté de leur code de carte bleue ... Ou ceux qui désactivent l'anti-virus car c'est trop long lors de l'envoie - reception de mail ...
Ou encore ceux qui ouvrent des mails qui sont évidement des virus
Une bonne formation pour tous à la sécurité meme minimum serait plus que nécessaire.
Aussi bien pour les particuliers que pour les profesionnels...
Je trouvais que c'etait le point qui manquait.
La mise à jours de l'antivirus, les patchs de l'OS, ce n'est pas du ressort de l'utilisateur, c'est l'administrateur. Il existe suffisamment de solution d'entreprise pour automatiser les déploiements et mise à jour.
Effectivement, former l'utilisateur à le faire serait bien. Il pourrait refaire l'opération chez lui et cela limiterait la diffusion des virus et autres. Mais est ce que l'on demande à tous les commerciaux itinérants de faire eux-même la vidange et changer les bougies des véhicules de fonction?
Concernant les changements de mots de passe, c'est vrai qu'il ne faut pas le faire trop souvent. Une simple démonstration, où l'on trouve facilement le mot de passe d'un utilisateur qu'on connait bien, aide à faire prendre conscience du problème.
Après pour les aider à trouver des mots de passe, je fonctionne beaucoup sur les phrases du genre :
"mes enfants s'appelent Thomas et Elsa",
on prend la premiere lettre :
MESATEE
Ensuite un petit coup d'écriture de L33T et de majuscule/minuscule :
M3S4tee
On a un mot de passe correct et que l'utilisateur peut reconstruire facilement . Il faut l'aider à choisir une phrase qui le représente et peut être plus facile à trouver ("J'aime la biere, les têtes de veau et caresser les croupes de vaches" par exemple...).
La meilleure façon de sécuriser un poste réside dans son utilisation je dirai!
Sa configuration, le comportement de l'utilisateur! Les failles logiciels interviennent ensuite!
Et moi, je verifie le travail que font ces admins...Je voudrais parler d'un point précis de ta phrase : le changement régulier des mots de passe. Je vais vous étonner mais... je suis contre ! Et pourtant je suis admin réseau et système
Et la présence d'un mecanisme de verification des mots de passe et de leur renouvellement regulier font partie d'un certain nombre de referentiels légaux (ITSEC/ITGC/British Standards et j'en passe).
Et avec l'augmentation du role de controle interne (loi LSF en France et Sarbanes-Oxley Act aux USA), tu dois avoir des mots de passe renouvelés regulierement (bien sur ce n'est qu'un critere parmi plusieurs centaines).
Sinon c'est la fessée...
Hé bien c'est franchement regrettable, je trouve ces normes/lois mal faites car complètement inadaptées sur le terrain. Encore une fois des règlements stupides basés sur de la théorie mais sans aucune réflexion sur les implications concrètes...
Attention je ne critique ici aucunement ton travail (je n'oserais pas), mais bien les normes et lois en la matière.
Surtout que suivre, tel et tel regle... C'est déjà donné aux gens malveillants, une indication sur notre politique de sécurité...Hé bien c'est franchement regrettable, je trouve ces normes/lois mal faites car complètement inadaptées sur le terrain. Encore une fois des règlements stupides basés sur de la théorie mais sans aucune réflexion sur les implications concrètes...
Attention je ne critique ici aucunement ton travail (je n'oserais pas
J'avais oublié aussi que si on élève un bon utilisateur au travail, il répliquera chez lui ces connaissances pour la sécurité de son ordi personnel (sauf si on l'a gavé comme une oie)
+1, la plupart des gens qui ont un ordi chez eux, en on souvent un sur leur lien de travail aussi...
Ca se démocrasite tellement qu'il faudrai faire des cours en masse pour éduquer tout le monde
L'éducation des utilisateurs je n'y crois pas trop (pour ne pas dire pas du tout). Les utilisateurs non rien à faire des stratégies de sécurité et vivent le mot de passe comme une contrainte. Ils ne veulent pas être éduqués.
A mon avis, la stratégie de sécurité doit être indépendante de l'éducation des utilisateurs...
Pas sur ...
Si tu n'expliques pas à un utilisateur pourquoi c'est compliqué et en quoi le fait d'avoir un mot de passe et un anti-virus à jours permet d'améliorer la sécurité ca ne peut etre que positif...
Les gens se méfient toujours de ce qu'ils ne connaissent et l'abandonnent plus vite s'ils n'y voient pas l'interet
+1000000000 !!!Pas sur ...
Si tu n'expliques pas à un utilisateur pourquoi c'est compliqué et en quoi le fait d'avoir un mot de passe et un anti-virus à jours permet d'améliorer la sécurité ca ne peut etre que positif...
Les gens se méfient toujours de ce qu'ils ne connaissent et l'abandonnent plus vite s'ils n'y voient pas l'interet
Je suis persuadé que c'est par une bonne formation qu'on aura les meilleurs résultats, plutôt que de tout penser à la place des utilisateurs, ce qui provoque des abhérrations du genre dont on a parlé (changement de mot de passe beaucoup trop fréquent, et par ce fait même nuisible à la sécurité, un comble ! ), tout simplement parce qu'on n'a pas tenu compte de l'aspect pratique des choses du point de vue de l'utilisateur.
N'oublions pas, nous les informaticiens/administrateurs, que nous devons être au service des utilisateurs, pas l'inverse. On conçoit des systèmes pour les gens, donc il faut que ça soit le plus pratique possible pour eux tout en ayant les fonctionalités et sécurité nécessaires.
+1000000 !
tout à fait d'accord car il fut un temps ou notre DSI prenait des décisions sans se préoccuper des utilisateurs, du coup ils ont perdu toute crédibilité de la part des utilisateurs et depuis ils ont une super mauvaise image.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager