Jeudi 14 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Les utilisateurs sont le maillon faible de la sécurité

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 05/11/2002 - indexel.net
 

Toutes les intrusions ne viennent pas d´un logiciel faillible ou d´une mauvaise protection. Souvent, ce sont les employés eux-même qui minent la sécurité de leur entreprise. Et sans le savoir. Revue de détail des pratiques à risque et des solutions.

 

Une chaîne n´a de force que celle de son maillon le plus faible. Et en entreprise, le maillon faible de la chaîne sécurité, c´est indéniablement l´utilisateur. "L´utilisateur est à risque durant la navigation sur le web, car il peut alors introduire des virus ou des chevaux de Troie à son insu. Il a aussi tendance à vouloir se simplifier la vie : à noter des mots de passe, ou ne pas les changer. En règle générale, l´utilisateur n´est pas assez sensible à la sécurité", constate Valère Pascolo (photo ci-dessus), responsable de l´activité Sécurité chez Computer Associates France. Concrètement, de nombreux points du système d´information de l´entreprise peuvent être compromis par ses utilisateurs.

La navigation sur Internet : "L´un des plus gros problèmes est la mise à niveau des navigateurs. Les utilisateurs utilisent souvent celui qu´ils veulent, téléchargé pour l´occasion, mais jamais mis à jour", explique Bruno Dambrun, Directeur France et Europe du Sud de Blue Coat (ex-Cashflow). Le problème est notamment critique avec Internet Explorer, seul navigateur à implémenter ActiveX. Or, cette technologie propriétaire de Microsoft est peu sûre et permet d´exécuter n´importe quoi sur le poste de travail. C´est généralement une voie d´infection privilégiée au gré de la navigation sur des sites peu fiables.
La solution : Normaliser le parc de navigateurs au sein de l´entreprise et, s´il s´agit d´Internet Explorer, désactiver les contrôles ActiveX. Assurer la mise à jour permanente des navigateurs. Penser à investir dans une solution de filtrage de trafic HTTP.Le webmail : "30 % des secrets de l´entreprise sortent par e-mail. Et beaucoup de virus et de chevaux de Troie empruntent le sens inverse", résume Bruno Dambrun (photo ci-dessous). Il met ainsi en lumière la première faille de l´entreprise : la consultation de courriers personnels via le web. Car si les courriers qui transitent par la messagerie traditionnelle sont généralement filtrés par l´antivirus de la passerelle, les webmail tels Hotmail ou Yahoo! ne font souvent l´objet d´aucun contrôle : il s´agit d´un contenu HTTP indissociable de la navigation standard.
La solution : Puisqu´il est difficile d´interdire chaque webmail (il y en a trop), la solution la plus efficace est de filtrer les données échangées par HTTP afin de détecter les fuites d´information, et de compter sur les antivirus locaux pour la détection des parasites introduits via le webmail.

La messagerie instantanée : La mode des ICQ et autres Messenger permet une meilleure communication au sein des entreprises et - c´est un phénomène récent - a parfois aidé à diminuer les factures télécom ! Mais le revers de la médaille est que ces logiciels sont peu fiables. Ils sont régulièrement la cible des pirates et ils obligent les administrateurs à laisser de nombreux ports ouverts sur le firewall de l´entreprise. Des failles découvertes l´an dernier permettaient régulièrement de prendre le contrôle des PC exploitant l´un ou l´autre de ces logiciels. Sans compter que les communications transitent en clair sur Internet, ce qui n´est pas approprié pour des discussions professionnelles parfois confidentielles.
La solution : Fermer les ports connus pour ces applications grand public, ou utiliser des versions d´entreprise de ces produits, arrivées récemment sur le marché. On ne sait pas si elles ont moins de failles, mais au moins, elles encryptent les échanges.


Les mots de passe : "Les utilisateurs ne comprennent pas l´utilité de changer des mots de passe, ni pourquoi il faut en changer souvent", constate régulièrement Valère Pascolo. Et de fait, ces derniers sont généralement mal choisis : il s´agit bien souvent du login, du nom ou du prénom de l´utilisateur ou d´un membre de sa famille, parfois une date de naissance. Un pirate essaiera tout cela en premier lieu. Et pour le pirate interne, ils sont souvent écrits près de l´ordinateur...
La solution : Éduquer les utilisateurs afin qu´ils choisissent des mots de passe forts (huit caractères minimum, inédits et avec des symboles) et qu´ils ne les notent pas. Déployer une SSO (Single Sign On) afin de limiter le nombre de mots de passe que chaque utilisateur doit mémoriser. Tester régulièrement ces derniers à l´aide d´un "craqueur" spécialisé (Jack The Ripper).

Les télétravailleurs : Réseau professionnel et ordinateur personnel ne font pas bon ménage ! En utilisant le même PC (portable ou familial) pour se connecter au réseau de l´entreprise via un VPN et pour surfer chez lui en famille, le télétravailleur est susceptible d´ouvrir une brèche dans les défenses de l´entreprise. Son PC personnel ne bénéficie en effet probablement pas des mêmes attentions (antivirus à jour, navigateur mis à niveau, etc.) et subit le plus souvent les installations de logiciels glanés sur Internet. Sans sombrer dans la paranoïa, le risque d´installer un cheval de Troie est accru. Et le parasite aura alors accès au LAN de l´entreprise via le VPN à la prochaine connexion.
La solution : Créer une politique de sécurité stricte quant à l´usage personnel des ordinateurs par les télétravailleurs et des mobiles pour les itinérants. Limiter leurs droits sur le réseau autant que possible lors des connexions distantes.
Tous ces points d´entrée critiques sont à prendre en compte lors de la création d´une véritable politique de sécurité, ou du moins d´une "charte d´usage d´Internet" dans les plus petites structures. Cela ne résoudra certes pas le problème des employés curieux, qui cherchent par tous les moyens à explorer le LAN et aller là où ils ne sont pas supposés se trouver. Ni celui des utilisateurs qui installent un serveur FTP pirate sur leur PC, ou un modem sauvage sur leur téléphone de bureau pour avoir leur propre connexion. Mais ces cas là, plus rares, relèvent plutôt de l´audit de sécurité. En combinant les deux approches, défense proactive et audit, il est possible de réduire le risque d´intrusion de façon significative. Sans oublier que lorsque l´on parle des utilisateurs, leur véritable impact sur la sécurité, selon plusieurs études du Clusif (Club de la sécurité des systèmes d´information français), provient d´erreurs de manipulation. Ce sont elles qui provoquent généralement des dégâts largement plus importants. Mais ça, on sait mal le prévenir...

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages