Les principales menaces informatiques pour les PME
Suite à un article de WatchGuard, voici les 10 principales menaces informatiques recensées par cette société d’appliances de sécurité. Je vais essayer dans ce petit billet d’exposer mon point de vue et les premières contre-mesures possibles.
-
- Les vulnérabilités non patchées : c’est effectivement important de garder son parc informatique à jour, essentiellement sur les parties les plus proches du système (le mieux est d’utiliser un gestionnaire de déploiement de paquets). Ces parties qui possèdent la particularité de pouvoir accéder facilement en entrailles du S.I. Et je dirai même plus, les navigateurs doivent être dans leur dernière version, et un conseil supplémentaire : utilisez Firefox qui se met à jour automatiquement à chaque vulnérabilité connue…
- Les emails HTML malicieux : Pourquoi ne pas vous proposer de consulter vos mails en mode texte ? Plus sérieusement, un bon antivirus en entrée qui désarme toute exécution de code malicieux est plus que recommandé. Mais parfois ce n’est pas suffisant et la vigilance de l’utilisateur est toujours primordiale.
- Navigation internet imprudente : Encore l’utilisateur, quand il s’y met il devient le vecteur le plus dangereux qu’il soit pour votre S.I. Un proxy filtrant peut être une bonne première mesure, certains firewalls sont capables de désarmer tout code malveillant dans les pages HTML (JavaScript, Applet Java, Flash -> pour le clickjacking à la mode, etc.)
- Les serveurs Web vulnérables : Cela rejoint le point 1 et plus particulièrement la mise en place d’applications Web non sécurisées sur ceux-ci. Un firewall applicatif de type mod-security est une première réponse, mais la vraie, l’ultime réponse, est d’apprendre à développer de manière sécurisée, puis de faire appel à des tiers pour des audits de sécurité validant vos développements
- La perte des appareils mobiles : Le vol de portables (et de téléphones portables) est à la mode. L’oubli dans un aéroport est aussi très fréquent. Des mécanismes de chiffrement pour masquer les informations confidentielles sont plus que recommandés.
- Utilisation imprudente de réseaux public : Aujourd’hui ça peut être vrai, mais quand la politique de sécurité inclut un bon firewall personnel, un bon antivirus il n’y a pas de raison que cela se produise… Les réseaux Wi-Fi sont de plus en plus sécurisés, la menace peut venir des autres personnes qui accèdent de manière concurrente au point d’accès.
- Domicile non sécurisé : cela rejoint le point 6. Les postes sont nomades, il faut se mettre ça dans l’esprit et l’utilisation à la maison est un risque supplémentaire. Les clés USB personnelles peuvent aussi rentrer en compte dans ce point 7. Il faut pour cela aussi faire des scans antivirus complets fréquents lorsque l’utilisateur est dans l’entreprise pour éviter une propagation, ou effectuer une détection assez rapide…
- La configuration d’usine laissée par défaut : Les mots de passe restent parfois les mêmes qu’au début. Il faut savoir que maintenant il existe des constructeurs qui affectent un mot de passe plus compliqué mais il faut toujours suivre une bonne politique de mot de passe (peut-être l’occasion d’un nouveau billet).
- L’absence de plan de continuité : Même si cette partie n’est pas forcément obligatoire, et n’intervient qu’en cas d’urgence il est nécessaire de se poser les bonnes questions pour éviter le grand désastre, et la perte de l’entreprise. Dans cette partie, les assurances rentre en compte (possibilité de nouveaux locaux, d’achat de nouveau matériel), les sauvegardes (comment remettre en place le S.I. rapidement), etc. Cela peut paraitre parfois dérisoire mais ces plans ont sauvé plus d’une fois les entreprises d’une perte certaine…
- La politique de contrôle et de répartition des responsabilités. Il ne faut pas tout confier à une seule personne, des pertes sur le S.I. peuvent arriver sans que personne ne s’en rende compte avec les contrôles inadéquats. Il est important de répartir les responsabilités et d’effectuer des contrôles inter-services par exemple, ou encore mieux d’avoir des procédures qualité à mettre en place…
