1.7. Ne considérez pas la sécurité comme une mesure après coup
Indépendamment de votre perception de l'environnement dans lequel vos systèmes tournent, l'aspect sécurité ne doit jamais être sous-estimé. Même les systèmes autonomes, pourtant pas connectés à l'Internet, ne sont pas à l'abris de dangers (bien que les dangers encourus différent évidemment de ceux auxquels un système connecté au monde extérieur est exposé).
Il est par conséquent extrêmement important, lors de toute action ou décision, de prendre en compte les implications au niveau de la sécurité. La liste suivante illustre les différents aspects que vous devriez toujours prendre en considération :
La nature des menaces possibles sur chacun des systèmes dont vous avez la charge
L'emplacement, le type et la valeur des données disponibles sur ces systèmes
Le type et la fréquence de l'accès autoriser à ces systèmes
Lors de considérations de sécurité, ne commettez pas l'erreur de supposer que les agresseurs potentiels n'attaqueront vos systèmes que de l'extérieur. Dans bien des cas, l'agresseur vient de l'entreprise elle-même. La prochaine fois que vous passerez dans les bureaux, observez les gens autour de vous et posez-vous la question suivante :
Que se passerait-il si cette personne essayait de compromettre notre sécurité ?
 | Remarque |
|---|---|
Ceci dit, nous n'insinuons en aucun cas ici que vous deviez traiter vos collègues comme s'ils étaient des criminels. Néanmoins, en adoptant cette approche consistant à examiner le type de travail que chaque personne effectue, vous serez à même de mieux déterminer le type de brèche de sécurité qu'une personne occupant un poste donné pourrait ouvrir, si telle était son intention. |
1.7.1. Dangers de l'ingénierie sociale
Alors qu'au niveau de la sécurité, la première réaction de la plupart des administrateurs système est de se concentrer sur les aspects technologiques, il est important de mettre la situation en perspective. Bien souvent, les brèches de sécurité ne trouvent pas leur origine dans la technologie mais plutôt dans la nature humaine.
Les personnes qui s'intéressent aux infractions de sécurité utilisent souvent les vulnérabilités de la nature humaine pour contourner complètement les accès de contrôle basés sur la technologie. Ce phénomène est connu sous le terme d'ingénierie sociale (ou SE de l'anglais social engineering). Ci-après figure un exemple d'ingénierie sociale :
Le/la standardiste de la deuxième tournée reçoit un appel de l'extérieur. L'interlocuteur prétend être le directeur des finances de votre entreprise (le nom et d'autres informations sur ce dernier ont été obtenus à partir du cite Web de l'entreprise, sur la page "Équipe de direction").
L'interlocuteur prétend téléphoner d'un endroit à l'autre bout du monde (cette information est peut-être une invention de toutes pièces ou il se peut que le site Web de votre entreprise contienne un communiqué de presse précisant que votre directeur des finances participe à un salon international).
L'interlocuteur se plaint ; son ordinateur portable a été volé à l'aéroport, il est en ce moment avec un client important et a besoin de l'accès à l'Internet de l'entreprise afin de vérifier l'état du compte de ce client. Le/la standardiste aurait-il/elle l'amabilité de lui fournir les informations nécessaires à l'autorisation de son accès ?
Savez-vous comment le/la standardiste de l'entreprise réagira ? À moins que le/la standardiste en question ne dispose de directives (sous la forme de politiques et procédures), vous ne savez pas vraiment quelles informations seront données.
Tout comme les feux de circulation, le but des politiques et procédures est de fournir des directives claires sur ce qui définit un comportement acceptable ou inacceptable. Toutefois, comme pour les feux de circulation, les politiques et procédures ne servent que si tout le monde les suit. Là est bien le coeur du problème — il est peu probable que tout le monde adhérera à vos politiques et procédures. En fait, selon la nature de votre entreprise, vous ne disposez peut-être même pas de l'autorité nécessaire pour définir des politiques, est encore moins pour forcer leur application. Que faire dans ce cas-là ?
Malheureusement, il n'a pas de solutions faciles. L'éducation des utilisateurs peut aider à résoudre le problème ; faites tout ce qui est en votre pouvoir pour attirer l'attention de la communauté de vos utilisateurs sur les aspects de sécurité et sur l'ingénierie sociale. Faites des présentations sur la sécurité pendant le déjeuner. Disséminez les références d'articles liés à la sécurité grâce aux listes de diffusion de votre entreprise. Assurez-vous d'être disponible afin de pouvoir répondre aux utilisateurs ayant des questions à propos de choses qui leur semblent étranges.
En bref, disséminez le message parmi vos utilisateurs de toutes les manières possibles.