Vendredi 20 octobre 2017
NASDAQ : 6605.0669 19.1533   nasdaq0.29 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Sécurité : quatre conseils faciles à appliquer à l'usage des PME (suite)

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 23/06/2004 - indexel.net
 

Quelques mesures élémentaires permettent d´éviter une grande majorité d´incidents. Ce sont aussi les plus simples et les moins chères à mettre en oeuvre, comme vous le dévoile notre guide express des bonnes pratiques de sécurité à l´usage des PME.

 

Conseil 3 : des systèmes à jour, toujours !

La grande majorité des incidents de sécurité récents (et les dernières grandes épidémies) sont dues à des systèmes qui n´étaient pas à jour de leurs correctifs de sécurité. Une faille de sécurité connue mais non corrigée est ainsi la voie royale pour un pirate ou un ver. Si une bonne architecture réseau permet d´isoler les postes de travail et les serveurs privés d´Internet, il reste que certains services doivent parfois être accessibles directement (les e-mails, les serveurs DNS ou d´extranet par exemple) et donc corrigés en priorité.

La bonne pratique : Dans le cas de serveurs sous Windows, les plus répandus et les plus exposés, la solution passe par les outils gratuits de mise à jour proposés par Microsoft. S´il y a peu de serveurs, il est possible de programmer Windows Update sur chacun d´eux afin de télécharger et d´installer les correctifs automatiquement. Une pratique risquée, car il est impossible de tester les correctifs, mais qui a le mérite d´être suivie... contrairement aux bonnes résolutions vite oubliées.

"Nous organisons une veille permanente des correctifs, grâce à des sites web spécialisés et des listes de diffusion. Lorsque une faille critique est identifiée, nous établissons la liste des serveurs à corriger en priorité et nous lançons Windows Update manuellement. Malgré notre parc d´une vingtaine de serveurs, nous n´avons pas senti le besoin d´automatiser la mise à jour et cette procédure manuelle n´a jamais été prise en défaut. Nous avons ainsi échappé à toutes les épidémies connues en suivant simplement les parutions des correctifs et en appliquant Windows Update à la main", reconnaît Laurent Bourguignon (photo), chargé du support chez Bluewave, une PME d´édition de logiciels bancaires. Sur un parc plus important - y compris pour les postes de travail -, Microsoft propose une solution centralisée capable de télécharger une fois les mises à jour et de laisser chaque serveur et chaque poste l´utiliser automatiquement. Tous ces outils sont téléchargeables gratuitement sur le site de l´éditeur.

Conseil 4 : une sécurité suivie... de près

Les petites structures ont du mal à conserver une vision très précise de leur sécurité. Le responsable informatique - lorsqu´il existe - est trop occupé par les problèmes immédiats pour partir à la traque aux faiblesses de son réseau. Et quand bien même, ce n´est pas sa spécialité : il est incapable de repérer les failles et les mauvaises configurations qui exposent l´entreprise depuis Internet. Et puis le niveau de sécurité de l´entreprise évolue avec le temps : de nouveaux postes font leur apparition, des applications sont mises à jour, une nouvelle version du serveur de messagerie exige de modifier la configuration du pare-feu : ce qui était sûr il y a six mois ne l´est probablement plus aujourd´hui. Il est donc nécessaire de contrôler l´étanchéité de son réseau à intervalles réguliers.

La bonne pratique : Souscrire un abonnement à un service d´audit de vulnérabilités automatisé, sur Internet. Une telle prestation est facturée quelques milliers d´euros par an et permet de réaliser autant de tests que souhaité. Ces derniers sont déclenchés par l´entreprise depuis un simple navigateur web et offrent une vision synthétique de sa sécurité immédiate : à quelles failles est-elle exposée ? (ports ouverts sans qu´elle le sache, mauvaises configuration des serveurs accessibles depuis Internet, etc.) et comment les corriger ? C´est probablement l´un des meilleurs investissements de sécurité qu´elle puisse faire dans cette gamme de prix. Généralement, il suffit d´une analyse pour convaincre la PME.

"Dès le premier scan de démonstration, nous avons découvert des problèmes de configuration qui pouvaient être exploités depuis l´extérieur ! Le choix de cette solution a été rapide. Nous sommes bien conscients qu´un service automatisé ne remplacera jamais un auditeur humain, mais c´est pour nous un compromis idéal entre le coût et l´efficacité", explique Laurent Muller, PDG de la société Alban-Muller, abonnée à un tel service (lire son témoignage).

Lire la première partie de l´article.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages