|
|
Cybersécurité : l'ANSSI estime que les sociétés n'ont plus d'excusesFace aux multiples menaces qui pèsent sur les systèmes d'information, l'ANSSI propose aux entreprises un guide d'hygiène informatique composé de 40 règles à mettre en œuvre. L'objectif est simple : adopter enfin de bonnes pratiques pour limiter la casse en cas d'attaque informatique ou de tentative de vol de données confidentielles et sensibles.
40 règles pour sécuriser un système d'information Avec l'ouverture des Assises de la sécurité, qui se déroulent du 3 au 6 octobre 2012 à Monaco, l'ANSSI a diffusé un guide (.pdf) d’hygiène informatique en entreprise regroupant "quelques recommandations simples" pour sécuriser efficacement les systèmes d’information et leurs données. Ces conseils, au nombre de 40, sont susceptibles d'évoluer, dans la mesure où l'agence a lancé un appel à commentaires sur le guide. Pour aider les sociétés à appliquer ces recommandations, l'ANSSI met également à disposition une checklist (.pdf) listant toutes les mesures contenues dans le guide avec un système de suivi : une case pour noter l'échéance à laquelle la tâche devra être appliquée et trois cases dédiées à l'avancée de sa mise en place : réalisée, en cours, planifiée. Car l'objectif final, c'est évidemment que ces règles soient toutes respectées. C'est le message qu'a ainsi martelé le directeur de l'ANSSI, Patrick Pailloux, à l'ouverture des Assises 2012. "Ces 40 règles doivent toutes être appliquées systématiquement, partout. Appliquer ces 40 règles garantira à vos systèmes d’information une meilleure résilience face aux cyber-attaques, et donc protégera l’entreprise qui vous fait confiance pour sa sécurité informatique". Ne plus chercher d'excuses
"Mon objectif dans cette affaire est simple. Je ne veux plus qu’il soit possible de me dire : « on ne savait pas quoi faire, c’est compliqué, mon pauvre monsieur si vous saviez, on n’a pas la compétence ». Il va désormais y avoir une liste publique de vérifications à faire, de mesures simples à prendre, compréhensibles par presque tout le monde et, c’est une certitude, par tous les informaticiens", a-t-il poursuivi. Il est autorisé d'interdire Patrick Pailloux s'est également attardé sur la différence de traitement qu'il faut avoir entre l'utilisation de l'informatique dans un cadre privé et dans un cadre professionnel. "Je vais vous dire ma vision des choses : il faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information. [...] La sécurité c’est aussi avoir le courage de dire non".
Non, mais... Une politique sévère ? Assurément. Mais c'est au chef d'entreprise d'assumer cette politique et de l'expliquer à ses employés. Ce qui n'empêche pas de chercher des alternatives et de les mettre en œuvre, lorsque c'est possible. "Face à l’interdiction, il faut d’une part, expliquer les raisons de ces contraintes , et d’autre part, lorsque la demande correspond à un réel besoin (et non à une envie), trouver et expliquer la façon, certes sans doute moins conviviale, d’arriver au même résultat", a-t-il ajouté, concluant sur ce point en précisant "qu'en fait, la bonne réponse n’est pas non, c’est non mais". à lire aussi
  Prix indiqués avec livraison
35
Commentaires à propos de «Cybersécurité : l'ANSSI estime que les sociétés n'ont plus d'excuses»
Inscrit le 13/02/2012
504 messages publiés
Envoyer un message privé
Torfirion
le 03/10/2012 à 16:31
Cool story' bro(Pailloux).
Répondre
Ils ont dû trop sécuriser leur serveur, le téléchargement du .pdf n'avance pas.
Sinon, ils font bien de préciser qu'il s'agit de "recommandations simples", ce ne sont quasiment que des règles de bon sens... 
Ceux qui ont appliqué toutes les mesures pourront s'en prendre à quelqu'un d'autre en cas de souci ? Plus sérieusement, je vois pas ce qu'il y a de nouveau dans leurs recommandations, la plupart des règles sont élémentaires, d'autres ne sont parfois pas applicables. Et puis, quitte à parler de bonnes pratiques, se relire avant de publier un document officiel, ça peut être utile et éviter que le lien vers lesdites "bonnes pratiques" à la fin ne soit mort http://www.ssi.gouv....onnes-pratiques 
Et pourtant ce sont bien souvent les règles de bon sens qui ne sont pas appliquées par le personnel.
Et l'introduction des terminaux mobiles personnels comme les smartphones, dans la "chaîne" informatique de l'entreprise donnent tout son sens au terme "cheval de Troie". 
Dite moi quel est le budget de l'ANSSI pour faire l'équivalent de ce que l'on demande a hadopi depuis longtemps ?
Lennart, le 03/10/2012 - 17:17 Sauf que ces règles, à part 3 ou 4, ne sont pas applicables au personnel. Si une attaque informatique réussit à cause d'un employé, même si les dégâts sont considérables, ce sera la faute de cet employé, mais le fait de sécuriser les postes de travail avec des cartes à puce ne changera rien au comportement du personnel, il facilitera au mieux la découverte du fautif. Ensuite, une entreprise qui se soucie un minimum de sa sécurité ne laisserait pas un smartphone se connecter facilement au réseau sans avoir pris les mesures nécessaires. Sinon, la seule mesure élémentaire à prendre, c'est d'engager un administrateur réseau compétent  
DotDotDot, le 03/10/2012 - 16:57 A un moment, quand on veut pas sécuriser son SI (parce que c'est pour les lopettes, nous on a un firewall) et bien on ne peut s'en prendre a personne. Maintenant les entreprises qui ne veulent/peuvent pas investir dans la sécurité ont un début de solution, ceux qui ne le font pas auront qu'à fermer leur gu**le.
Si des règles élémentaires sont dans ce doc, c'est qu'elles ne sont toujours pas respecté dans la majorité des entreprises. Il ne faut pas reprocher à l'ANSSI de faire un document ne décrivant que du bon sens, mais reprocher aux gens de ne pas avoir ce bon sens.
EmilienJ, le 03/10/2012 - 17:27 Bien vu !
Jed, le 03/10/2012 - 17:35 J'ai bien compris, et je suis même d'accord, c'est plus une plaisanterie sur ce qu'a dit M. Pailloux, si les 40 règles ne sont pas respectées, on ne peut s'en prendre qu'à soi-même, mais selon moi si elles sont respectées, il y a encore une pléthore de failles potentielles, et on ne pourra de toutes façons s'en prendre qu'à soi-même en cas de problème ( je vois mal une entreprise aller frapper à la porte de ce monsieur en lui disant que les 40 règles n'ont pas suffit et que c'est de sa faute s'ils n'ont plus de données) Enfin j'ai compris,je ne ferais plus de plaisanterie  Jed, le 03/10/2012 - 17:35 Personnellement, je ne leur reprocherais pas de faire ce document en lui même, mais disons que la sécurité informatique elle ne date pas que d'avant-hier, un document comme ça aurait vraiment été utile il y a plusieurs années, histoire de sécuriser les systèmes à leur création. Et sensibiliser les gens avant. Ensuite, ce document, comme le montre la 40ème règle, ressemble plus pour moi à une brochure pour vendre des audits de sécurité qu'à une mesure efficace de cyber-sécurité (c'est pas parce que l'audit aura vérifié que l'entreprise respecte 39 règles [j'arrive pas a croire qu'on puisse réellement sécuriser tous les postes avec des cartes à puce ] que ça va empêcher une attaque ) Après je suis totalement d'accord, c'est plus le manque de "bon sens" au niveau du personnel qui est en cause en cas de problème =)
DotDotDot, le 03/10/2012 - 17:51 Ah ! Désolé  J'ai cru que tu étais sérieux (mais quelle idée de faire une blague sans smiley à la fin aussi  )
En fait, aux début de l'informatique les gens s'en sont surtout servit pour gagné plus d'argent avec des coût moindre. Aujourd'hui encore, les start-up mettent le paquet sur la production et s'occupe de la sécurité une fois seulement qu'ils sont lancés. De plus l'informatique évoluant très rapidement, les systèmes/politiques de sécu mis en place à sa création aurait été vite obsolète. Bref la sécuriser son SI c'est dépenser de l'argent juste au cas où il y aurait une attaque. Cet argent investit ne donnera des résultats que lors d'attaques. Or, en attendant ces attaques cet argent ne peut être réinvesti dans quelque chose de plus rentable... Là est le dilemme.
[ATTENTION VULGARISATION A DEUX BALLES] L'informatique c'est un peu comme du bricolage. On voit comment se servir d'un marteau, d'un tournevis, d'une scie etc... Et on est persuadé de les utilisé correctement jusqu'à ce que quelque chose arrive. Donc soit on prend des cours de bricolage, soit on demande à quelqu'un de venir voir si tout ce qu'on fait est bien ou pas... [FIN] Fondamentalement, la sécurité parfaite existe pas. Il y aura toujours des gens qui arriveront à attaquer, peu importe par quels moyens. Ce n'est pas pour autant que ne rien sécuriser est préférable pour autant. Sinon concernant l'histoire des cartes à puces, je pense qu'il s'agit plutôt à des moyens d'authentification "physique" (portes verrouillez par un mot de passe perso etc...)
DotDotDot, le 03/10/2012 - 17:28 Plutôt de système d'information
Jed, le 03/10/2012 - 17:35 Ben. C'est tellement du bon sens que ceux qui ne l'appliquent pas : 1 - ne l'appliquent pas parce qu'ils n'en ont rien à faire 2 - ne l'appliquent pas parce qu'ils ont fait le choix conscient de permettre certaines choses aux dépens de la sécurité. Par exemple, de nombreuses entreprises choisissent de mettre leurs données dans le cloud. Les dirigeants doivent savoir que ça peut poser des problèmes de sécurité / confidentialité. Ou alors, c'est que ce sont des abrutis complets qui ne méritent pas leurs places, et ce n'est pas un "guide d'hygiène" qu'il leur faut... Donc je me demande un peu quel est l'intérêt de ce "guide d'hygiène"...
@milord
Pour l'informatique, qui n'est pas le coeur de métier de beaucoup d'entreprises, l'externalisation existe depuis longtemps tout comme pour la comptabilité, la gestion des ressources humaines etc...
Lennart, le 03/10/2012 - 18:46 Oui. Et ? 
milord, le 03/10/2012 - 18:413 - n'ont pas de service informatique, mais juste quelques PC pour le courrier, la facturation, ... Mais que du moment que quand j'appuie sur le bouton, ça démarre, c'est que c'est bon. Tu crois que Mme Michu, qui arrive tout juste à charger le papier dans l'imprimante, et parfois à la débloquer quand il y a un bourrage, est susceptible de suivre ces règles ? Elle ne sait même pas ce que c'est qu'un compte admin. Je remarque qu'il n'y a aucune recommandation concernant le mail que je viens de recevoir avec katemiddletonapoildanssadouche.exe . 
un controle ADN et un scan d'iris , et une deco au bout de 30 seconde si aucune touche appuyer, vala
milord, le 03/10/2012 - 18:41 L'absence de sécurisation est un motif pour la Hadopi de t'en foutre plein la gueule, et on se plaint que la Hadopi ne fournit aucun guide/soft pour sécurisé son réseau. Alors pour une entreprise, qui ne sait pas comment faire pour sécurisé son SI, qui n'a pas les moyens pour embaucher un expert secu, ou un RSSI ou encore de commander un audit, un défaut de sécurisation peut être fatal pour le business. Donc un guide de sécurisation est toujours bon à prendre pour une entreprise pour définir au moins une base pour sa sécurité.
Centaurien, le 03/10/2012 - 18:55 Pourquoi tu me parles de Mme Michu ? On parle de l'ANSSI, je ne crois pas qu'ils s'adressent à Mme Michu... D'ailleurs, il est bien écrit dans le document : "S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute personne qui remplit cette fonction, ce document présente les quelques règles d’hygiène informatique incontournables.".
L'ANSSI a bien raison car ici les mots et la notion de "négligence caractérisée" ont tout leurs sens.
On est loin de la protection "du droit d'être stupide" face a des "copieurs du dimanche", dans ce .PDF l'ANSSI pare de la sécurité en milieu professionnel ou l'erreur peut parfois couter cher. Je préfère voir mes impots dans l'ANSSI ou la notion de négligence caractérisée a tout son sens que dans le CPD et sa lute contre l'évolution de la société.
milord, le 03/10/2012 - 19:08Parce que Mme Michu, elle travaille aussi, et peut-être même qu'elle s'occupe de la compta de la petite PME, qui représente plus de 50% des actifs français. Et que bien souvent, les PME n'ont pas les moyens de payer un admin réseau/sécurité/... de qualité, c'est juste Jeannot qui a installé la PS3 de son petit neveu qui s'occupe de l'informatique. Donc ça s'adresse à qui le truc, au Crédit Agricole, Axa, Peugeot, ... ? Et les autres, ils peuvent crever dans leur merde ? Ben non, M Pailloux, il s'adresse aussi à Jeannot, même si Jeannot ne sait pas qu'on peut rentrer sur sa box avec admin admin (règle 13), c'est lui le RSSI de "Les bons tripoux de Jeannette" à Latronche 19160 Corrèze.
Centaurien, le 03/10/2012 - 19:34 Ah oui, parce que Jeannot qui n'y connait pas grand-chose va sûrement être en mesure de réaliser une cartographie du matos et du réseau, rédiger des procédures d'arrivée/départ etc. Relis (ou lis) le document : on voit très bien qu'il ne s'adresse pas aux amateurs, et qu'il y a plus de chances qu'il s'adresse à des entreprises qui ont un SI un peu plus conséquent qu'une TPE de 2 personnes. Et : 1 - Les personnes capables d'appréhender les problématiques posées par ce document sont déjà censées maîtriser assez l'informatique pour connaître ces problématiques 2 - Les personnes incapables de les appréhender ne les appréhendront pas mieux si elles lisent le document. Et pire, elles ne le liront de toute façon pas.
Centaurien, le 03/10/2012 - 19:34 Sans dire que les autres peuvent crever, je suis plutôt d'accord avec le point de vue de Milord, il faut aussi voir à qui s'adresse vraiment ce document. Je suis pas sur que la moitié des PME aient assez d'ordinateur pour que leur sécurité soit en danger. Je suis même prêt à parier que si Mme Michu n'a pas confié sa compta à un professionnel, elle la fait sur son ordinateur personnel, voire à la main sur un bon vieux cahier  D'un autre côté, et c'était surtout dans ce sens que je le comprenais, les grosses sociétés, qui ont vraiment à craindre d'un piratage (parce que "Les bons tripoux de Jeannette" à part un script-kiddie qui passe, tout le monde s'en fout) ne seront pas à l'abri, même en suivant ces 40 règles. J'ose espérer que chez Axa, CA ou Peugeot, la sécurité est déjà bien supérieure à ça. C'est pour ça que je ne vois pas bien l'utilité. Ca fait peur aux petites sociétés pour pas grand chose et ça va au mieux leur faire payer un audit qui leur conseillera d'investir leur chiffre d'affaire des 13 années précédentes dans la sécurité réseau, et ça doit faire marrer les admin réseau de Axa. Pour ma part, je trouve que la cible de l'ANSSI est assez mal définie, on n'explique pas la sécurité réseau de la même manière à tout le monde. Pour moi, Mme Michu dans sa PME a moins à craindre que d'autres, et a surtout besoin d'informations plus explicites que ce qu'il y a dans ce document. Après comme ça a été dit plus haut, c'est toujours mieux que nos impôts partent là dedans plutôt que dans la riposte graduée, mais ils pourraient surement être utilisés à des meilleures fins.
DotDotDot, le 03/10/2012 - 20:14 Je partage tout à fait ce point de vue, et c'est ce que j'essayais d'expliquer (peut-être que je l'expliquais mal).
Règle -1 : tous les utilisateurs sont des terroristes en puissance. Appliquez cette règle et vous résumez l'ensemble des règles du documents "d'hygiène" (mot très réducteur en passant).
(l'administrateur) Plutôt d'accord avec Milord, mais dans les PME, cela reste quand même hasardeux comme document. J'ai lu (survolé parce que les explications des règles font la plupart du temps dans la paraphrase) le document, et cela me fait bien marrer. Bien marrer dans le sens ou dans la vrai vie, il n 'y a pas 30% des règles qui sont "réellement" appliquées et que appliquer l'ensemble de ces règles reviendrait à mettre les utilisateurs dans une prison numérique ou pour lire un fichier audio il faudrait une autorisation de l'administrateur, une base de donnée qui répertorie le fichier utilisé, un scan realtime du flux qui passe afin de déterminée s'il n'y a pas d'attaques contenu dans le flux visant la librairie de décodage et faire entrer un mot de passe de validation par son supérieur dès qu'on veut faire quelque chose au même titre des caissières dans les hyper quand elle doivent modifier un article. Bon OK, j'exagère mais pas tant que ça. Bien que je comprenne que ces "règles" tiennent plus du bon sens qu'autre chose, certaines ne veulent strictement rien dire. Ces règles ont été édictées pour des banques, l'Etat ou des entreprises dont les données sont ultra confidentielles (ou ursaff, caf, Dassault?, ...). Parmi ces règles, j'en ai trouvé, vous me direz si vous êtes d'accord ou non, qui ne peuvent s'appliquer à la majorité des cas autres que ceux sus-cités : La 4, elle veut dire quoi ? Filtrer tous les ports ? L'encapsulation, ils connaissent pas ? Si certains croient encore se mettre à l'abri en fermant les accès Internet ou en proxyfiant à outrance, ils se mettent le doigt dans l'oeil. L'administrateur ou le service informatique sont peut-être compétant mais parfois l'utilisateur n'est pas un glandu non plus. NE JAMAIS SOUS ESTIMER UN UTILISATEUR. La 6 est inapplicable quand on bosse entourés d'outils spécifiques à des spécialités de métier... un administrateur ne peut pas tout connaître, surtout quand les développeurs de ces solutions logicielles sont les entreprises visées par ce document... le serpent se mord la queue. La 15 est inapplicable aussi dans des environnement diversifiés ou quand les os utilisés ne sont plus maintenus mais dont on ne peut changer pour incompatibilité logicielle ou pour des raisons de coût (matériel à renouveler). La 18 est inapplicable notamment si la 2 n'est pas appliquée, La règle 19 me fait particulièrement bien rire : bonjour les déplacement si tout est restreint sur la machine et qu'elle se trouve loin de l'admin ! Le manque d'informations sur http://www.ssi.gouv.fr/teleassistance et le dénigrement systématique de VNC sans parler d'autres solutions de télémaintenance sont déplorables. La 22 c'est facile à dire, difficile à mettre en oeuvre. Le VPN et le tunneling, c'est bien gentil mais rien de vaut un vrai cloisonement physique. Il y a une question de budget aussi. Changer tous les éléments actifs pour appliquer cette règle car tous ne sont pas de niveau 3, ça a un coût ! La 23 est ridicule, notamment pour les updates d'une part et de part la politique de restriction appliquées sur les postes. Ahhhh, la 26... à l'heure ou tout le monde mets du wifi partout pour être hype ! La 29 pareil que la 22, La 30 pareil que la 22, facile à dire, difficile à appliquer dans pas mal de cas, La 31 est une excuse pour des services payants, la 32 ne veut à fortiori rien dire, la 34 est difficile à mettre en oeuvre à partir du moment où le réseau interne se situe dans un lieu public !!! La 35 m'a mis une barre, La 36 aussi, La 38 n'est même pas appliquées correctement dans les centres RSI, La 39, les utilisateurs n'en ont [malheureusement] rien à battre, La 40 est purement commerciale. Soit l'administrateur ou les service est compétent et peut appliquer ces règles, soit il ne l'est pas et ne peut pas les appliquer. La société d'Audit, à supposer qu'elle soit RÉELLEMENT compétente, ne fera que confirmer ou infirmer la mise en place des règles de sécurité. Et enfin la règle 41 qu'ils ont oubliés : aucun réseau n'est inattaquable. Bugs matériels, failles logicielles, virus inconnus, volonté de certains utilisateurs à nuire au réseau, habitudes des utilisateurs, ... Je ne suis pas certain non plus qu'appliquer tout cela augmente le potentiel de rentabilité de ces entreprises. Mettre les gens en cage nuit à leur moral. Nuire au moral nuit à la performance. La performance est directement liée à la rentabilité et sa compétitivité, compétitivité qui est ici l'enjeu du document qui vise à la protéger... (juste milieu ???) Enfin, ce n'est que mon avis. Je dirigerai une banque, j'appliquerai ces règles, ou du moins, en partie.
En faite avec toi on ne fait pas de sécurité c'est ça
?Je pense que le doc est mal présenté. Je ne pense pas qu'il faille appliquer toutes ces règles mais juste celle qui permettent de réduire des risques clairement identifié. En quoi la règle 6 est inapplicable ? Franchement c'est juste n'importe quoi de laisser des droits root à un utilisateur s'il n'en a pas besoin. Pour la télé-assistance je ne vois pas non plus le prob du document. Mise à part le point R4 qui me parait difficile à respecter c'est juste du bon sens. Ils ne disent pas que c'est pas bien. Et en quoi la 35 est drôle ? On le fait chez nous et ça marche plutôt bien. Je ne dis pas tu as raison sur certains point. Notamment la 30. C'est au bon vouloir des dirigeants quand même. Inapplicable sans l'implication de la direction. [message édité par ben57 le 04/10/2012 à 11:25
]
Ce que ce document semble dire ce n'est pas d'avoir partout dans toutes les sociétés une sécurité digne d'un département de la défense, mais d'avoir une sécurité cohérente et homogène. comme on ne fou pas un mot de passe d'administration tout en le rendent public avec un gros post-it collé sur le poste d'administration pour ne pas l'oublier un peut comme noter son code secret de CB sur sa CB, a quoi il sers alors le code/mot de passe si il n'est plus secret, alors que son but s'est justement d'être secret?
ces 40 règles ne peuvent pas s'appliquer a tout le monde, seul les grosses structures vont les appliquer ou les appliquent déjà.
DoubleJ, le 04/10/2012 - 08:27 +1. Plus généralement, moi (qui suis sous-traitant en info) j'ai remarqué 2 choses dans les grandes sociétés: * Les métiers sont *très* variés, et AUCUN service info n'est a même de savoir, à la place des gens, ce dont ils vont avoir besoin ou pas, même ponctuellement. Combien de fois j'ai vu des proxy bloquer tout ce qui contient le mot-clé "wordpress", sous le prétexte "Entertainment". Dommage, quand tu bosses sur un problème kernel et que justement ce sont les blogs ça et là qui donnent des pistes. Et *non*, désolé, pour UNE consultation (peut-être infructueuse) on va pas aller faire 10 mails et 3 papiers pour débloquer une page. (Par contre, curieusement, les sites "informatiques" comme Numerama, ainsi que les sites de l'Equipe, eux, sont en liste blanche. Pkoi donc...) * Les administrateurs de ces solutions voient principalement les autres employés (ou les sous-traitants...) comme des empêcheurs de buller. D'ou les demandes en 3 exemplaires et les 15j de délais pour toutes demandes, pour décourager les demandes les moins critiques. Du coup le service info est considéré comme un boulet plutôt qu'un atout et une aide. (Tendance renforcée par le devoir de se justifier comme un gamin à chaque demande - parfois on se demande qui est le vrai patron, dans ces boites). C'est particulièrement flagrant avec la mode du BYOD: Les employés demandent , c'est NIET direct, avec un air outré du DSI. Le patron fait la même demande, 15j après, la messagrie et les calendriers partagés, comme par magie, deviennent compatible avec les i-phones... :-) Mais surtout, le réel souci , c'est que , parfois, les employés sont pas non plus stupide, et connaissent free-mobile. Du coup, hop ! Le téléphone branché sur un PC perso, et voilà. Moi-même je fait ça, pas le choix, pour mon boulot. Et quand j'ai de grosses archives a télécharger (ex: Des version de distrib linux, ou des trucs comme Eclipse) ,je le fait de chez moi : Le proxy de ne permet pas de télécharger des fichiers de plus de 50m. C'est bien joli de tout vouloir protéger.Mais bien (trop) souvent, le niveau de protection est tel que les gens peuvent plus bosser (non, tlm n'est pas secrétaire dans une boite et n'utilise que word/excel/powerpoint). Et ça, les DSI s'en foutent, et préfèrent impacter le boulot des autres plutôt que de risquer d'être mis en faute. Et on arrive à des aberrations, comme être obligé de passer par un proxy 'secret' d'une filiale de la boite pour aller sur le net , parce que tout est bloqué via le proxy "officiel". Et ensuite, on voit la filiale en question se plaindre que son accès au net est sans arrêt lent.... Après avoir lu ce document, il me semble que les rédacteurs ne se sont préoccupé que de LEUR petit bout de la lorgnette: le boulot des DSI et des RSSI , dixit ce passage:
Pour moi, c'est complètement ignorer les besoins et les usages des travailleurs. C'est *juste* protéger son cul, sans se préoccuper de celui des collègues. 
Bon, j'ai bien ri en lisant le message du directeur de l'ANSSI.
Bien ri parce que ces recommandations sont un extrait réchauffé d'une "bible" connue sous le nom d'ITIL (Information Technology Infrastructure Library) et dont la vocation est de regrouper les bonnes pratiques informatiques à tous les niveaux histoire d'avoir des entreprises où les systèmes d'informations deviennent (et ce pour tous les départements) un outils au lieu d'une contrainte. Le document donc, s'adresse clairement à des PME ou de grandes entreprises (les TPE peuvent tout de même s'en inspirer, il y a de très bonne chose à mettre en oeuvre). Pour moi, le fond du problème c'est que la sécurité informatique (puisque c'est de cela dont il s'agit) commence à préoccuper les dirigeant après que soit arrivé l'incidentâ? Avant, au mieux, on se fait traiter de vilain parano tant il est vrai que le monde n'est pas truffé de malfaisants (c'est oublier un peu vite qu'une connexion internet par exemple est une porte ouverte sur la planète entière, pas uniquement sur l'hexagone)â? Ca rappelle furieusement les sauvegardes où il faut bien souvent qu'un "responsable" perde ses données pour qu'on envisage d'investirâ? Mais revenons à notre sécurité, bien souvent, un responsable informatique (et surtout dans les PMEs) passe son temps à gérer l'immédiat en changeant régulièrement de casquette (passant allègrement du heldesker de base à l'admin système par exemple). Souvent, son rôle en tant que conseil n'est pas pris en considération voir même filtré par son supérieur hiérarchique qui se trouve être la majorité du tempsâ? le responsable financier (sicâ?)â? Un peu comme si faire de la sécurité informatique ce n'était pas faire son métier ! Mais là où ça devient encore plus drôle c'est que dans bon nombre de sociétés multinationales (nous ne sommes plus du tout dans une PME) le problème continue de se poser de la même manière ou presque. Il est tout de même très rare de trouver un "security officer" dans une filialeâ? Et pourtant, il serait de bon goût (alors que ces personnes existent bel et bien pour les sièges sociaux et/ou les lieux stratégiques comme les unité de production par exemple) qu'on trouve un représentant par site histoire d'avoir une politique de sécurité qui soit homogène ! Dans ces conditions, comment s'étonner que nos PME soient à la traîne sur le sujet ? Surtout quand on sait qu'il n'est pas rare de constater qu'après avoir sorti 3 ordinateurs d'un carton on devient un interlocuteur informatique de choix et que nombreux sont ceux qui s'en remettent à un tiers pour faire le boulot (externalisation, infogérance, etc.). Ce document est en fait une base de travail pour tous à commencer par les dirigeants d'entreprises et les utilisateurs ! On parle ici de vulgariser un domaine où, comme sur la route, le manque de prudence peut avoir de sévères répercutions. Les problèmes sont comme les accidents de la route, ils n'arrivent pas qu'aux autres ! L'erreur ne se trouve donc pas dans les 40 "règles" données mais bel et bien dans la cible choisie. La sécurité des systèmes d'information est de la responsabilité de chacun et le devoir de tous, il peut suffire d'une négligence (pour ne parler que de ça) pour ruiner les plans de sécurité les mieux conçus. http://fr.wikipedia.org/wiki/ITIL http://www.itil-officialsite.com/
@ obcd
Je trouve que tu pousses un peu ;-)
Inexact mais pourtant effectivement courant. C'est principalement dû au fait que les services informatiques ne sont pas inclus en amont des prises de décisions (et donc des discussions) mais en aval puisque, dans ces groupes, bien souvent ce ne sont pas les équipes informatiques qui sont impliquées mais le directeur financierâ? Le seul moyen de palier à ça est de discuter avec les gens des différents services au gré des interventions par exemple et de faire remonter les informations.
Tu connais la réponse ! C'est l'utilisation abusive de certains services qui prive la totalité des utilisateurs du dit service. Je te l'accorde, c'est aussi idiot qu'efficace.
Oui et non. Arrivé à une certaine taille, il faut bien arriver à faire le tri dans les demandes. Par ailleurs, il existe bien souvent des procédures dont découlent ces demandes, encore faut-il que ces procédures ne plombe pas, comme tu le décris, le service et finisse par le faire passer pour un boulet. Là, c'est le rôle des responsables et.ou dirigeant d'y mettre bon ordre.
Le BYOD est, dans le meilleur des cas, une provocation et dans le pire, une déclaration de guerre (même venant du PDG !!!) ! Impossible de gérer convenablement un éco-système complexe comme l'est un système d'information avec des outils qui viennent de tous les horizons ! Là encore, il s'agit de prise de décision et les décideurs devraient avoir le bon sens de ne pas se comporter comme des divas au risque de payer un prix exorbitant un jour ou l'autre. C'est aussi au responsable des systèmes d'information de faire de la pédagogie en organisant par exemple des sessions de formation à ces mêmes décideurs de temps en temps. Ce n'est pas parce que ça ne pose pas de problème (et encore) de faire ça à la maison qu'on doit le faire au bureau. Les risques ne sont pas du tout les mêmes !
Sauf qu'avec une équipe sérieuse, ça se gère sans trop de difficulté. Il y a des règles et elles sont là pour une raison d'ailleurs certaines entreprises font signer une charte d'utilisation à l'embauche et ce genre de comportement peut mener au licenciement.
Sauf erreur, si tu es consultant, c'est la société qui t'emploies qui doit te fournir les outils pour travailler, pas ton clientâ? Par contre, pourquoi ne pas demander une autorisation puisqu'il s'agit de ta mission ?
Les gens ne peuvent plus bosser ou faire ce qu'ils s'attendent à être en droit de faire (pour ne pas dire faire ce qu'ils veulent) ? Et s'ils ne peuvent véritablement plus bosser c'est que soit la direction se tire une balle dans le pied avec des règles hors de propos, soit le département informatique est incompétent et ça arrive parfois malheureusement.
Il semble bien que ce soit ce que tu penses mais, personnellement, je trouve que les règles ci-dessus sont simplement du bon sens et on peut gérer des exceptions : non on ne travaille pas avec son terminal privé, La société doit fournir le matériel permettant d'effectuer les missions éxigées non on n'installe pas le dernier joujou à la mode, Mais on peut tout à fait démontrer l'utilité du dit joujou pour l'activité de la société et demander s'il peut être "référencé" (pour les smart phones par exemple) non je ne laisse pas mon ordinateur connecté si je ne suis pas là, Même si on ne va pas jusqu'à la déconnection, un économiseur d'écran avec mot de passe est bienvenu ! non je ne peux pas, depuis ma chambre d'hôtel, accéder à mes données sans un dispositif de sécurité, Il ne manquerait plus que ça, faire transiter des informations professionnelles sur des réseaux dont on ignore tout ! La société se doit de fournir une fois encore les outils nécessaires s'il y a besoin de se connecter ailleurs qu'au bureau non je ne vais pas au restaurant en laissant mon portable avec des données sensibles dans ma chambre d'hôtel, C'est le meilleur moyen de se faire snifer ça machine au minimum, de se le faire voler, dupliquer le disque j'en passe et des meilleures. Les faits divers sont pleins de ce genre de chosesâ? non je n'envoie pas par mail des informations très sensible... Une règle de base surtout s'il s'agit de l'envoyer à une adresse de type webmailâ? Encore une fois, ces règles sont à apprécier au cas par cas en fonction de la société dans laquelle tu travailles. Elle sont, quoi qu'il arrive, une bonne base.
Nacyl, le 04/10/2012 - 18:49 C'est sûr, j'ai vu chez certains gros clients, les mecs se connecter en WiFi au réseau du voisin parce qu'ils n'arrivaient à rien faire avec le proxy de leur boite. La parano conduit souvent à créer des failles aussi, quand tu dois changer ton mot de passe tous les mois, et que celui ne doit pas ressembler à l'un des 12 derniers, tu finis par retrouver les mots de passe dans les tiroirs ou avec la photos des enfants (surtout si tu dois avoir plusieurs mots de passe - 1 pour le cryptage du disque, 1 pour la session, 1 pour Lotus, 1 pour l'application machin-chose, ... ).
@Nacyl
Tu dis beaucoup de chose : "Il faudrait pas faire ceci" , "Il faudrait faire cela". Dans les faits, si le PDG & les cadres disent "on veux nos mails sur l'iphone (même un iphone du taf), ben l'équipe info le fait, ou bien sera rapidement .... "recadré". Et oui, perso je considère même ça salutaire, si ça peux aider à bosser. Si à l'époque le blackberry a cartonné, c'était pas seulement parce que c'était le dernier gadget à la mode pour patron branché - il y avait un réel plus , en terme d'usage. (Et je ne parle pas des critiques de l'appareil, que ce soit en terme social ou en terme technique , là ou tout passait par RIM). Je regrette, mais dans les boites où je suis passé, le but absolu des services info, c'est "continuer à faire comme avant". Alors oui, pour acheter des serveurs, des SAN , des boitiers / proxy ou DPI, là ya pas de problèmes. Mais en terme d'usage des postes (autre que les leurs), les informaticiens que je connais ils seraient bien resté à WinNT 4.0 pour tout le monde. Et çà c'est bien dommage, mais c'est pas moi qui vais y changer quoique ce soit, surtout pas dans des boite où j'interviens très ponctuellement. Par contre, si le boulot n'est pas fait , MON patron, lui , s'en tape complètement que ce soit parce qu'il était impossible de télécharger une ISO depuis le réseau du client: C'est moi qui morfle, pas le DSI du client... Donc , oui, la solution, c'est Free mobile. (Et encore, j'ai vu une boites où le responsable de service avait commandé une ligne ADSL directement à son bureau à titre perso & où tous les gens se connectaient sur la livebox en wifi , le réseau "entreprise", complètement saturé de toute façon, n'étant utilisé que pour le fameux "Lotus Notes", la plaie de tous les usagers...) Honnêtement, je suis bien d'accord que c'est dommage, mais c'est pas mon boulot, et sur ce sujet je suis complètement désabusé.
obcd, le 04/10/2012 - 20:09 Oui, il faudrait, je ne suis pas dans ces boîtes et pour ta gouverne, quand mon PDG exige quelque chose qui sort de l'ordinaire, ma réponse est simplissime, si ça a une valeur pour le business, je suis prêt à l'étudier et si ça ne vient pas en contradiction avec la sécurité, on peut déployer. Par contre c'est aussi mon boulot d'expliquer ma réponse. Je te garanti que ça passe même s'il faut passer du temps à expliquer les choses. Il y a deux éléments à mettre en perspective, l'objectif et l'enjeu. Ce sont deux choses différentes et qui, expliquées, permettent d'éviter le n'importe quoi. D'ailleurs, la suite de ton message cadre avec ce que je viens de dire. La force du blackberry il y a quelques années c'est qu'il répondait à un réel besoin et offrait des garanties de sécurité. Dans ce cas, après étude, pourquoi ne pas incorporer l'outil à la palette existante pour les membres de l'entreprise qui en ont besoin ? Par contre, je ne sais pas où tu es tombé pour tes prestas mais il y a des baffes qui se perdent. Ma gestion est une rotation des machines sur 3 ans et une étude des OS avant d'envisager un déploiement. Même critère que précédemment, changer s'il y a un intérêt pour le business, oui, changer pour changer, non. Tu es simplement dans la même position que nombre de prestataires, taillable et corvéable à merci sans valorisation de la part de ton client ni de la part de ta boîte ce que je déplore. Ce n'est pas la bonne façon de bosser et, au final, on se retrouve avec des SI sous-traité en Inde ou en Hongrie... Il n'en demeure pas moins que toutes les boîtes ne son pas comme ça et que j'espère que tu finiras par en trouver une où le département "informatique" est un acteur à part entière de la vie de l'entreprise. @ Centaurien Nous sommes d'accord, trop de sécurité où une sécurité mal maîtrisée (dans un sens ou dans l'autre et/ou mal/non expliquée) est un non-sens qui fini par avoir comme résultat l'inverse de ce qui est recherché ! Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
 3 offres à partir de 17 €
 2 offres à partir de 69 €
 4 offres à partir de 55 €
 2 offres à partir de 17 €
 3 offres à partir de 30 €
Télécharger
logiciel alcatel,
ssc service utility,
pro evolution soccer,
skype,
editeur audiovideo vlc,
bittorrent,
gta,
ssc,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Depuis sa création en 2009, l'Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié des recommandations relatives à la sécurité de GNU/Linux et des flux réseau (IPsec), avancé des conseils en cas d'attaques par déni de service et listé des démarches à suivre en cas d'intrusion sur un système d'information. L'agence a également publié un guide sur la 
