Conseils pour la mise en place d'une politique de sécurité informatique dans les PME/PMI

Posté par . Modéré par Mouns. Licence CC by-sa
16
26
juin
2011
Sécurité

L'association GOALL (Groupe d'organismes acteurs du Libre en Lorraine) propose de rédiger et de diffuser sous licence libre un document avec des conseils généraux pour mettre en place une politique de sécurité informatique. Ce document est destiné aux responsables d'entreprise.

Les PME/PMI sont de plus en plus dépendantes de leur système informatique et donc exposées aux problèmes de sécurité. Les antivirus et autres outils techniques de sécurité ne suffisent plus, la formation et l'information continue des utilisateurs sont maintenant indispensables pour limiter les risques, ainsi que les systèmes permettant une reprise rapide de l'activité suite à un sinistre informatique.

Le document distribué ne sera pas un document technique mais un document d'information. La partie technique (lexique, exemple de logiciels...) sera diffusée sur un document séparé.

Si vous voulez participer à ce projet, inscrivez-vous sur le Wiki et apportez votre contribution. Une campagne de sensibilisation des PME/PMI par les préfectures se prépare pour la rentrée, ce document pourra, entre autres, servir de support et par la même occasion faire connaître le Libre dans les PME/PMI.

  • # Essentiel

    Posté par (page perso) . Évalué à 7.

    La sécurité, ça se construit dans le système, ce n'est pas un truc qu'on rajoute par dessus comme un cache-misère.
    Microsoft utilise la seconde solution qui permet de vendre des emplâtres, en particulier des anti-virus.
    Si ce message pouvait passer, les PME utiliseraient bien plus de logiciels libres.

    • [^] # Re: Essentiel

      Posté par . Évalué à -5.

      Si tu arretais de raconter des conneries, tu serais aussi beaucoup plus credible.

      • [^] # Re: Essentiel

        Posté par . Évalué à 4.

        Bonjour,

        Ce serait bien que tu étayes un peu plus cette affirmation.

        Il est tout à fait vrai que Windows sans antivirus c'est tout à fait possible.
        Sauf que pour que cela soit possible il faut une machine dont le Windows soit paramétré aux petits oignons et maintenu également dans le temps aux petits oignons aussi.

        Et cela n'est pas à la portée de tous les consommateurs.

        Pour avoir fait tout récemment une installation d'un système pré-installé sur un notebook, et bien tout est à refaire tellement l'installation "par défaut" est dangereuse pour le consommateur de base.

        Des preuves ? Achète le premier notebook premier prix avec son windows pré-installé :-D

        Cela fait partie des pratiques commerciales que les tribunaux de France commencent à condamner de manière systématique.

        Parce que oser affirmer qu'une machine avec un OS Windows pre installé est une machine prête à l'emploi c'est faux archi faux.

        En revanche une machine vierge sur laquelle on va y installer un gnu/Linux sera quant à elle une machine vraiment prête à l'emploi pour des fonctionnalités de bases.

        • [^] # Re: Essentiel

          Posté par (page perso) . Évalué à 6.

          En revanche une machine vierge sur laquelle on va y installer un gnu/Linux sera quant à elle une machine vraiment prête à l'emploi pour des fonctionnalités de bases.

          Je ne veux pas me faire l'avocat de pbpg, mais il me semble qu'il faille un peu nuancer ton propos: pour l'instant, avec les distribs connues, installées par quelqu'un de pas trop stupide, oui.

          Mais il va toujours rester des utilisateurs qui tournent exclusivement sous root (en gros, le windowsien de base qui se sent power user mais qui ne s'est jamais posé de questions, qui passe sous Linux sans grandes difficultées mais qui fait tout sous root, parce que c'est plus pratique et parce qu'il ne voit pas l'intérêt de créer un compte utilisateur supplémentaire).

          Et nous sommes toujours à la merci d'un dingue qui va packager ssh avec un mot de passe par défaut ou autres inventions créatives (cf le ssh de iphones jailbreakés).

          Mathias
          PS: je n'ai rien contre le dit windowsien de base, c'est juste le type d'utilisateur qui a débuté sans rien connaitre sous un Windows type 95-98-me, puis qui à force de clicks de plus en plus téméraires à trouver le moyen de faire a peu près tout ce qu'il veux avec sa machine, donc se sent power user. Sauf qu'il a pris de très mauvaises habitudes de par sa totale absence de formation...

          • [^] # Re: Essentiel

            Posté par (page perso) . Évalué à 0.

            Et nous sommes toujours à la merci d'un dingue qui va packager ssh avec un mot de passe par défaut ou autres inventions créatives (cf le ssh de iphones jailbreakés).

            Ben étant donné que les dépôts apt sont certifiés (pour rpm je ne sais pas), ça risque pas. Par contre, lors de l'ajout de sources non sûres, on en revient toujours au même point : faut pouvoir faire confiance au fournisseur du package, en cas de doute, faut pas l'installer.

            There is no spoon...

          • [^] # Re: Essentiel

            Posté par . Évalué à 4.

            Je ne veux pas me faire l'avocat de pbpg, mais il me semble qu'il faille un peu nuancer ton propos: pour l'instant, avec les distribs connues, installées par quelqu'un de pas trop stupide, oui. >

            Et bien, sauf vraiment à vraiment jouer à l'imbécile, avec une installation fraiche d'une distribution Linux connue (Mageia, Ubuntu, Fedora, Suse ....)pour un utilisateur normal, c'est opérationnel pour une utilisation de base une fois l'installation terminée.
            Par exemple avec une Mageia, il ne me semble juste pas possible d'utiliser le compte administrateur comme compte utilisateur. Si je ne crée pas de compte utilisateur au moment de l'installation et bien je ne vais pas plus loin dans l'installation. Et ensuite le système est fait de tel manière que je ne puisse pas ouvrir un bureau avec un compte administrateur.

            Un système Windows pré-installé ce n'est que très très à moitié opérationnel. Et en effet avec cette installation par défaut il vaut mieux que l'utilisateur installe (en plus) cautères et jambes de bois sur son système Windows. Avec Windows l'utilisateur peut croire que son système est opérationnel. En fait ça ne l'est pas du tout. Et tout est à reparamétrer et voire à refaire tellement c'est mal foutu/fichu.

            Après si l'utilisateur veux vraiment jouer à l'imbécile (pour ne pas utiliser d'autres termes) que l'on soit sous Windows, Linux ou autre chose, c'est peine perdue :-) Je suis bien d'accord.

        • [^] # Re: Essentiel

          Posté par . Évalué à -2.

          Ce serait bien que tu étayes un peu plus cette affirmation.

          Et pourquoi tu ne demanderais pas plutot a Pierre d'etayer son affirmation que Linux est intrinsequement plus sur ?

          Sauf que pour que cela soit possible il faut une machine dont le Windows soit paramétré aux petits oignons et maintenu également dans le temps aux petits oignons aussi.

          Ouais, comme un Linux quoi

          Pour avoir fait tout récemment une installation d'un système pré-installé sur un notebook, et bien tout est à refaire tellement l'installation "par défaut" est dangereuse pour le consommateur de base.

          Des preuves ? Achète le premier notebook premier prix avec son windows pré-installé :-D

          Je prefererais que tu me dises ce qu'il y a de dangereux

          En revanche une machine vierge sur laquelle on va y installer un gnu/Linux sera quant à elle une machine vraiment prête à l'emploi pour des fonctionnalités de bases.

          Comme un Windows quoi

    • [^] # Re: Essentiel

      Posté par (page perso) . Évalué à 10.

      Si ce message pouvait passer, les PME utiliseraient bien plus de logiciels libres.

      Je ne crois pas, le problème c'est que la sécurité n'est pas une préoccupation pour la plupart des PME, et encore c'est un euphémisme.

      Logiciels libres ou pas

      J'ai déjà vu des réseaux tout moche (je parle bien de sécu) avec du libre, Microsoft n'a pas le monopole du j'en foutisme et du fait à l'arrache ...

      • [^] # Re: Essentiel

        Posté par . Évalué à 10.

        Je crois que tu touche là un point sensible. Une entreprise de e-commerce dans laquelle j'ai bossé, le PDG, et de facto responsable informatique, puisqu'il ne prenait que des stagiaires, m'a répondu quand j'ai dit qu'il lui fallait absolument sécuriser sa bases de données m'a répondu "bah pourquoi? ça coute trop cher". (il avait pris comme id "login" et "password"...).
        Il ne voyait pas la nécessité de sécuriser sa base client, ce qui fait que l'entreprise peut vivre...
        Et pourtant -voir mes posts plus bas-, c'est un digital native, et qui bosse dans du e-commerce, mais totalement imperméable à la sécurité, car il n'en voit pas la raison. Après 1h d'échanges, il m'a dit "je verrais ça plus tard", comprendre "laisse tomber".

        • [^] # Re: Essentiel

          Posté par . Évalué à 6.

          généralement quand ils ont tout perdu, ils sont plus réceptifs à la sécurité
          et aux sauvegardes après ...

          • [^] # Re: Essentiel

            Posté par (page perso) . Évalué à 2.

            Il faut peut-être lui parler de l'"ALE" (je ne connais pas le terme en Français) : Annual Loss Expectancy.

            En gros, tu calcule la probabilité qu'il se fasse hacker sa database avec un mot de passe facile (en nombre de fois par an, il faut se baser sur des études pour ça) et tu multiples par l'impact : le dommage estimé en euros s'il se faisait voler ou détruire sa base de donnée.

            Le résultat te donne l'ALE ou autrement dit, les pépètes qui partent chaque année à cause de ce risque résiduel... Ca parle plus à un PDG.

        • [^] # Re: Essentiel

          Posté par (page perso) . Évalué à 5.

          Il ne voyait pas la nécessité de sécuriser sa base client, ce qui fait que l'entreprise peut vivre...

          Au hasard, pour ça :
          http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_donn%C3%A9es#Protection_des_donn.C3.A9es_personnelles

          Ah mais non, c'est comme le droit du travail, un certain nombre d'employeurs pensent que c'est juste fait pour amuser la galerie.

    • [^] # Re: Essentiel

      Posté par . Évalué à -1.

      Absolument

  • # questions

    Posté par . Évalué à 9.

    hop, michu étant une seconde peau :

    Privilégiez l'utilisation de logiciels achetés à des éditeurs connus.

    "Je ne peux pas faire confiance au gestionnaire documentaire édité par la pme de ma région ? Zarb, ça."
    -> virer cette phrase ? On peut avoir plus confiance dans le wiki édité par la pme du coin, économie locale, connaissance humaine, dont les sources sont ouvertes.

    (...) l'innocuité de ces logiciels peut être garantie

    "Par qui ?"
    -> Le terme "peut être" rends la phrase floue bien que vraie, non ?

    Ne téléchargez aucun logiciel sur internet sauf s'il s'agit de logiciels diffusés sous licence Libre ou sous licence Open Source et à partir d'un site de confiance.

    "qu'est ce qu'un site de confiance ?"
    -> Ambiguïté : cette phrase ne vaut que pour le contexte "windows". Ou plus globalement de l'usage de binaires pré-compilés téléchargés n'importe où, alors qu'une distribution signe ses binaires. Mais là, ça devient trop compliqué, alors : une politique globale de sécurité telle qu'elle est sous entendue dans d'autres parties du document devrait inclure une interdiction d'installation de logiciels. Ce qui n'est pas autorisé est interdit. Point.

    Fournissez des supports de stockages identifiés par l'entreprise (...) et interdisez l'usage des supports privés.

    "comment ? tout les collaborateurs ont des smartphones qu'ils branchent sur leur portable"
    -> identifiez qu'il est possible d'interdire l'usage de tout supports amovibles non référencés. (et qu'en plus cette base est centralisée, puis autofs sur le pc client, voir la note technique certainement). Tout comme le point précédent : tout ce qui n'est pas autorisé est interdit, et ce n'est pas seulement une règle écrite mais un fait pratique.

    utilisent des protocoles de communication et des formats de fichiers standards et bien documentés

    "toujours ?"
    -> Dans certains cas pour certains documents, par exemple un transport dans un laptop, ne pas hésiter à, au contraire, utiliser un aglo de chiffrement peu usité, peu connu (en plus d'un fs chiffré). Une politique d'usage de l'exotisme ne peut être la règle, mais est souvent une exception indispensable dans certains cas.

    privilégiez les logiciels distribués avec une licence Libre ou une licence Open Source. N'importe quel prestataire informatique aura ainsi accès au code informatique

    "Quel intérêt ?"
    -> Retombez sur la possibilité d'usage d'un logiciel "local" d'une autre pme/pmi. Ainsi que sur le coût global des logiciels libres. Un LL n'ayant pas de problème de licence, le budget informatique consacré aux logiciels et données peut être mieux ciblés en fonction du besoin. Et faire l'objet d'une contre-expertise. Faite réviser le code par un expert indépendant qui apportera une assurance supplémentaire quant au contenu exact du code. Le LL permet de ne pas se fier à un seul fournisseur, mais de faire réviser, au besoin, par un fournisseur concurrent parfois, ou simplement un expert.
    Un budget sur un plugin de chiffrement et son implémentation peut ainsi être utiliser à la fois pour son support et pour sa révision par un tiers, plutôt que pour une licence...

    Si vous téléphonez via internet (voix sur IP), séparez physiquement le réseau téléphonique du réseau informatique

    "pourquoi ? il y en un plus faible que l'autre ? lequel ? Mes données les plus importantes transitent toujours par mail en fait"
    -> Mettre en exergue la notion de pérennité de l'information. C'est elle qui définira les programmes de la politique de sécurité, sans que les usagers aient besoin d'y penser réellement . (Transmettre par mail un mot de passe changeant toute les semaines d'un coffre physique interne à un bureau, n'est pas 'grave' en soi dans la mesure où l'obsolescence de l'information (1 semaine) additionnée à l'accès physique (bureau + coffre) rends son usage délicat, et restreint fortement le champ des possibles. etc...)

    Formation, charte informatique

    "ça coute cher ?"
    -> bullshit. La formation coûte du temps, au minimum, parfois des intervenants en plus. Pour au final, au mieux avoir un résultat de sensibilisation. La seule politique qui vaille c'est la notion de faute. Marquée noir sur blanc dans le contrat ou la charte d'usage des moyens technologiques internes, identifiée comme faute.

    • Pas de logiciels, autres que ceux fournis, utilisables.
    • Pas de support amovibles, autres que ceux fournis, utilisables.
    • Pas de machines, autres que celles fournies, pluggables sur le réseau.
    • Identification rapides des contrevenants et des tentatives.
    • Faute professionnelle si non respect.

    Mes deux cents. Désolé ce n'est pas exactement dans l'ordre du texte, et c'est bien incomplet, mais c'est ce qui m'a sauté au visage en lisant ce préambule. Une impression de quelques phrases et 'vérités' assénées sans réelle explication, qui ressemble plus à un peu de marketting qu'aux recommandations qu'une préfecture pourrait faire. J'espère que d'autres apporteront des idées, sans prétention, afin d'améliorer ce texte.

    • [^] # Re: questions

      Posté par . Évalué à -1.

      Je ne répondrais que sur la partie "formation". Dans les entreprises que j'ai pu voir au cours de mes stages (je suis encore étudiant en master), et au vu de mon entourage, la notion de "sécurité informatique" est du charabia.

      Le problème que j'ai le plus vu est le spam : les gens cliquent sur un lien, et paf. Ça ne se règlera pas en ajoutant une notion de "faute professionnelle". Devant n'importe quel prud'hommes la décision se fera casser, simplement parce que la notion même de "lien compromis" est étrangère au quidam qui fait une base de données sous excel... Et je ne parle pas du cas où la machine de madame michu est piratée à cause d'une faille logicielle et est utilisé pour faire tomber l'infrastructure, sans laisser de traces (soit le cas le plus courant).

      Les jeunes génération (dont je fais parti) ont baigné dedans, et certaines choses nous paraissent évidentes. Il y a un réel fossé avec la génération des 40+ qui n'ont pas les mêmes automatismes. Il est indispensable de prendre en compte les différents niveaux, et associer une formation adaptés à ces niveaux...

      Une autre piste est de faire un test informatique à l'embauche, avec des cas typiques (ex: e-mail avec un lien suspect).

      La notion de faute n'est pas inutile, mais elle ne peut intervenir qu'en bout de chaine. En sanction quand l'acte est répété ou est un acte volontairement commis.

      • [^] # Re: questions

        Posté par . Évalué à 10.

        Les jeunes génération (dont je fais parti) ont baigné dedans, et certaines choses nous paraissent évidentes.

        Poncif qui ne tient pas face à la réalité. Ce n'est pas parce qu'on fait parti des dernières générations que l'on est digital native. Il y a des jeunes qui utilisent des ordinateurs tous les jours et qui sont imperméables à un tas de notions relatives à l'enfilage numérique. Et à l'opposé, il y a des « vieux », numériquement vierges, qui comprennent ces notions et qui les appliquent.

        The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

        • [^] # Re: questions

          Posté par . Évalué à 4.

          Un "jeune" aura tout de même certains automatismes qu'un non "digital native" n'aura peut-être pas.
          Naturellement, cela ne veut pas dire "jeune = sensibilisé"... malheureusement. Ce que je cherche à mettre en lumière c'est qu'il peut ressortir plusieurs niveau de compétences.
          Tomber sur quelqu'un de moins de 25 ans qui n'a jamais touché un ordinateur est rarissime, comparé à quelqu'un de plus de 50.
          Ce sont des généralités, mais qu'il convient de garder en mémoire pour avoir la formation adaptée et qui garantit les meilleurs résultats. Envoyer quelqu'un qui sait à peine utiliser un traitement de texte dans une formation où on va lui parler de DDoS, de spam et autre sera inutile, voire contre-productif (résistance aux futures formations)...

          Une autre idée que j'ajouterai est que plutôt qu'utiliser une "charte", que personne ne lit, un fond d'écran d'entreprise avec quelques "bonnes pratiques" écrites dessus peut avoir un effet formateur à coût nul...

      • [^] # Re: questions

        Posté par . Évalué à 8.

        Les jeunes génération (dont je fais parti) ont baigné dedans, et certaines choses nous paraissent évidentes. Il y a un réel fossé avec la génération des 40+ qui n'ont pas les mêmes automatismes. Il est indispensable de prendre en compte les différents niveaux, et associer une formation adaptés à ces niveaux...

        j'en doute ... l'âge n'a rien à voir avec la sécurité ...

        on peut avoir un jeune qui balance à tour de bras des infos de la boite
        sur des réseaux sociaux en direct ou via son mobile ...
        comme on peut avoir 40+ comme tu dis qui ne fait que ce qu'il connaît
        et pas autre chose par ce qu'il ne sait pas ...

        enfin dernier point, brassens nous a déjà appris que "quand on est con,
        on est con" et ce quel que soit l'âge ...

        Entre un jeune pseudo connaissant et un vieux ignorant le résultat et
        généralement le même ...

        Le test à l'embauche pourquoi pas mais on voit passer des spams ciblés
        qui quand c'est la banque de la personne, alors qu'elle ne clique pas sur les
        autres, elle va cliquer sur celui la ...

        On a déjà eu le cas d'une personne qui s'est fait pourrir son compte
        à cause de ça ... on lui a expliqué gentiment pourquoi c'était mal et qu'il
        ne fallait pas faire et 5 jours après elle a recommencé ....

    • [^] # Re: questions

      Posté par . Évalué à 5.

      La PME ma région est un éditeur connu. Le site internet telechargepleindetrucsgratuits.ru est très attirant mais ce n'est pas un éditeur connu. Il faudrait peut-être remplacer "des éditeurs connus" par "des auteurs bien identifiés"?

      Le terme "peut être" signifie que le code peut être audité ou peut ne pas l'être, suivant qu'on le souhaite ou non.
      Par qui? Des programmeurs?

      "qu'est ce qu'un site de confiance ?" -> remplacé par "le site d'origine des auteurs".

      Identification rapides des contrevenants et des tentatives.
      Faute professionnelle si non respect.
      -> appliquer cela dans une entreprise mènera à coup sûr à une non-adhésion voire à un rejet de tout le personnel à la politique de sécurité. C'est l'échec assuré. J'espère pour vous que vous ne procéderez jamais ainsi, vous allez avoir de gros soucis.

      Un réseau VoIP est aussi vulnérable qu'un réseau informatique. Séparer physiquement le réseau téléphonique du réseau informatique permet de protéger l'un si l'autre tombe sous une attaque. Les relier mènera à coup sûr à une panne complète en cas d'attaque.

      • [^] # Re: questions

        Posté par (page perso) . Évalué à 2.

        Le site internet telechargepleindetrucsgratuits.ru

        Je plussoie,, c'est un excellent site, on peut y aller en toute confiance

        :-)

        Bon je []

        Speed dating is useless. 30s isn't long enough to explain the benefits of functional programming in Haskell

    • [^] # Re: questions

      Posté par . Évalué à 2.

      (...) l'innocuité de ces logiciels peut être garantie

      "Par qui ?"
      -> Le terme "peut être" rends la phrase floue bien que vraie, non ?

      Ben non, parce que c'est faux, rien ne garantit que le logiciel est inoffensif, meme si les sources sont dispo. Cette phrase est une grosse connerie ne reposant sur rien a part un mythe deja casse maintes fois.

      • [^] # Re: questions

        Posté par . Évalué à 9.

        Ce n'est pas faux. Ce n'est pas vrai.
        Lorsque les sources sont dispos, cela peut devenir vrai.
        Lorsque les sources ne sont pas dispos cela ne peut jamais devenir vrai.

        La disponibilité des sources ne garantie pas l'innocuité du logiciel, non, c'est clair, ok. Mais elle garantie la possibilité de faire réviser le logiciel. Elle garantie que cela soit possible de garantir l'innocuité du logiciel :-) Nuance :p Alors que lorsque les sources ne sont dispos (ou seulement sous la forme de docs, ou sous une forme de code obfusqué), on ne pourra jamais obtenir cette garantie. C'est un cas concret, pratique et réel.

        Qu'ensuite on vienne opposer l'argument qu'étudier un binaire est parfois plus facile et rapide, dans un objectif de surveillance, que d'étudier les sources, est peut être vrai parfois, mais pour un bureau d'études. Dans la vie réelle, cela reviendrait à lancer une telle campagne à chaque mise à jour = l'enfer, même avec un super_mega_xdelta_plus_maxisoftice. Si les sources sont dispos, leur révision lors des mises à jour est faisable. Bonus, sans gréver le 'ttm'.

        La disponibilité des sources est un avantage majeur. Ce n'est pas en jouant sur les mots que l'on retire cet avantage.

  • # Charte informatique

    Posté par (page perso) . Évalué à 3.

    Comme le souligne Tankey, il reste pas mal de travail à faire. Mais je trouve l'initiative sympa.

    Question charte informatique, chaque boîte a son truc plus ou moins bien fait. Il serait bien que ce site en propose une potable.
    Je ne me dévoue pas, je n'en ai pas de potable :)

  • # inepsies

    Posté par . Évalué à 10.

    "Ne téléchargez aucun logiciel sur internet sauf s'il s'agit de logiciels diffusés sous licence Libre ou sous licence Open Source et à partir d'un site de confiance."

    Apres ca j'ai arrete de lire ;)
    C'est stupide comme recommandation. Le fait qu'il soit indiquer qu'il sagisse d'un logiciel libre n'indique en aucun cas:

    • que le logiciel est vraiment libre
    • que le code source si il est vraiment lie corresponde au soft binaire
    • que le soft soit mieux programme ou fixable plus facilement qu'un autre si n'y a pas de programmeur dans la boite pour s'en occuper

    bref le doc est plein d'inepsies du genre qui n'aident en rien a part a guider dans le mur.

    On en dira ce qu'on voudra, moi je pense que c'est ce genre de plaie qui renforce les pbs de securite info. Vous voulez un truc securise au jour d'aujourd'hui? Embauchez un ingenieur specialise ou formez vous.

  • # Incomplet et mal fait

    Posté par (page perso) . Évalué à 6.

    Ce document tient plus de la propagande sous entendant que seul les logiciels libre assure une vrai et totale sécurité.

    Une vrai politique de sécurité est avant tout basée sur l'éducation des utilisateurs et ensuite sur les possibilités qu'on leur offre avec le pc.

    La polsec se fera en conséquence du nombre de personnel de l'entreprise. (on applique pas les même règle avec 4 personnes ou 200).

    On interdit l'accès internet à ceux qui n'en ont pas besoin. (ça réduit drastiquement les soucis)

    On prend du personnel qualifié pour s'occuper de la bonne gestion de la polsec.

    L'article liste tout une série de logiciels libre dans divers domaines. Si l'auteur avait voulu être un minimum sérieux, il lui aurait fallu citer certains logiciel propriétaires offrant plus de fonctionnalités voir de qualités (ici j'ai l'impression qu'on me met des oeillères en me disant qu'il n'y à rien de bon en dehors du LL alors que dans ce domaine, ce n'est pas le cas).

    • [^] # Re: Incomplet et mal fait

      Posté par . Évalué à 2.

      On interdit l'accès internet à ceux qui n'en ont pas besoin. (ça réduit drastiquement les soucis)

      Ça c'est vraiment de la politique réseau de "nazi".
      D'une part on a de plus en plus besoin d'internet dans la vie de tous les jours (et on est amené à avoir besoin de faire des démarches personnelles aux heures de bureau).
      D'autre part dans les sociétés où j'ai bossé la navigation était assez ouverte et je n'ai pas souvenir qu'on ait eu des problèmes à cause de ça. Les anti-virus (pour les Windowsiens) ne sont pas pour les chiens.

      Dans une boîte (une SSII) j'ai eu un PALC (Proxy A La Con, cf http://blog.ronez.net/?p=708 ) et l'impossibilité de sortir en SSH, la plaie pour aller intervenir chez le client et d'autres choses légitimes dans le cadre du boulot.

  • # Sinistres

    Posté par (page perso) . Évalué à 4.

    Tout le monde assure ses biens contre le vol et l'incendie. Les assurances peuvent rembourser les biens assurés mais le remplacement n'est pas toujours possible. On ne peut pas toujours remplacer ce qui a été détruit ou volé. C'est le cas de l'informatique, fragile et volatile. Elle doit être sécurisée contre les intrusions, le vol, l'incendie et la panne définitive.

    Si on vole l'ordinateur qui contient les données essentielles de l'entreprise, ou si il brûle ou si un quelqu'un s'y introduit et le compromet, le résultat est le même, il faut pouvoir restaurer un système sain. Cela a un coût, mais l'assurance qui couvre ce coût ne s'achète pas chez l'assureur du coin de la rue, elle doit être construite localement en commençant par la prévention des risques.

    Pour évaluer le niveau de sécurité d'une entreprise, on peut dire au responsable informatique : Votre machine brûle. Que faites vous ? Qu'est-ce ça va coûter ?
    Si il répond 3000€ et deux jours de travail, c'est bien, mais si il blêmit, il vaut mieux lui trouver un remplaçant.

    • [^] # Re: Sinistres

      Posté par . Évalué à 3.

      Et s'il blémit et dit 2000€ et trois jours de travail, on fait quoi?

    • [^] # Re: Sinistres

      Posté par . Évalué à 2.

      Tout le monde assure ses biens contre le vol et l'incendie

      Non. Comme tout ça s'étudie pour voir si c'est rentable ou pas.

      Pour évaluer le niveau de sécurité d'une entreprise, on peut dire au responsable informatique : Votre machine brûle. Que faites vous ? Qu'est-ce ça va coûter ?

      Et bien aucune chance qu'il t'enfume (volontairement ou pas). Bisounours...

  • # Chiffrer les mails?

    Posté par (page perso) . Évalué à 8.

    L'article ne mentionne pas le chiffrement des mails. C'est pourtant la plus grande aberration en terme de sécurité en entreprise. Je n'ai pas trouvé de meilleure analogie que "Est-ce que vous enverriez un contrat sur une carte postale?", mais malgré tout ça ne convainc aucun décideur pressé...

    http://devnewton.bci.im

    • [^] # Re: Chiffrer les mails?

      Posté par . Évalué à -3.

      Si, le chiffrement des méls est cité (activer SSL).

      • [^] # Re: Chiffrer les mails?

        Posté par (page perso) . Évalué à 4.

        Attention, distinguer le chiffrage entre le serveur et le client, du chiffrage du contenu de l'email de façon à ce que seul le destinataire puisse le lire, et éventuellement de la signature pour être sûr de qui il vient.
        Cf GPG & consort.

        • [^] # Re: Chiffrer les mails?

          Posté par . Évalué à 1.

          Exact. Très rares sont les entreprises qui cryptent le contenu des méls. Comme on cible les PME normales, le chiffrage de la liaison suffit comme conseil.

          • [^] # Re: Chiffrer les mails?

            Posté par (page perso) . Évalué à 5.

            le chiffrage de la liaison suffit comme conseil

            C'est comme mettre des détecteurs lasers dans l'entrée de ta maison et pas de serrure sur la porte...

            http://devnewton.bci.im

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.