French English German Spanish

Blog Sécurité Informatique et Cybersécurité

Assurer votre veille technologique. Risques numériques. Sécurité Informatique.

Sécurité informatique & numérique

Auteur: Christophe Pékar

Voeux (in)avouables pour 2015

Voeux (in)avouables pour 2015

Dans le domaine de la sécurité, et de plus dans la sécurité informatique il est d'usage de considérer que cela n'arrive qu'aux autres...  Combien de responsables, d'entreprises, de collaborateurs réfutent continuellement tout risque, toute exposition même minime aux risques malgré la clarté des évènements qui nous entourent au quotidien ?  Juste un rapide focus: en 2014, la prolifération des menaces s'est encore accentuée! La logique d'attaque des pirates et des corpuscules cyber-terroristes est devenue de plus en plus fine, invisible, insidieuse...  Les approches techniques pour pénétrer un système s'associent à des techniques de SE (Social Engineering) souvent pensées et orchestrées des mois en avance sinon plus, afin de maximiser l'impact sur leur cible tout en bénéficiant d'une meilleure furtivité...

Cela n'arrive (pas) qu'aux autres...insecurite

Le plus inquiétant est souvent ce sentiment de sécurité.. combien de fois entend-on: "nous sommes bien protégés, aucun soucis!", "notre infrastructure intègre pare-feu miraculeux", "notre administrateur fait du monitoring permanent et constaterait la moindre attaque", "notre appliance IPS lève tous prémices d'attaque, aucune inquiétude à avoir!"  ... combien de mots, de phrases récurrentes de la part de personnes présentant ce sentiment de (fausse) sécurité qui mène parfois -souvent- à des drames.

Unitairement, un système de protection peut fonctionner tout à fait honorablement pour répondre à une problématique donnée et à un modèle de protection bien identifié. Mais dès que l'on doit aborder une vue d'ensemble et établir un recensement de façon macroscopique, cela devient moins évident. Qui peut ainsi penser, imaginer et déterminer tous les différents vecteurs d'attaque qui permettraient à des pirates chevronnés de bypasser (contourner, pardonnez moi cet énième anglicisme) les politiques de sécurité ? De passer au travers des éléments de contrôle et d'analyse actifs qui pourtant sont efficients unitairement parlant ?  A ce stade, cette question devient plus complexe. Et requiert un excellent background technique melé d'une capacité d'abstraction, mais aussi d'inventivité pour imager tous les scénarios les plus improbables... et qui arrivent pourtant le plus souvent!

Faire évoluer les comportements

Une organisation fonctionne via une multitude d'éléments en interaction, mais quid d'un grain de sable venant s'intégrer dans un rouage pourtant bien huilé ? Quid d'un attaquant, externe (tel un pirate bien décidé) ou en interne à l'entreprise (la fameuse attaque du stagiaire) qui vient subrepticement subtiliser des données en tentant de les proposer à un concurrents? Comment des consommateurs, pourtant fidèles à une marque ou à une institution, peuvent-ils encore durablement faire confiance si tous les éléments sensibles qu'ils ont communiqués leur sont indirectement subtilisés (CB, informations personnelles, etc.) ?

Aucune méthode de type appliance, pare-feu ou tout autre élément technique ne pourra venir à bout à ce modèle d'attaque....  la sensibilisation des collaborateurs est donc un axe à mettre en oeuvre et à privilégier, montrer que nul n'est à l'abri, et qu'aucun système, constitué par l'homme, n'est pas définition infaillible... l'échange, la communication, la rigueur dans le mode de fonctionnement d'une organisation, la définition de procédures... tous ces éléments doivent être constitués de manière globale et homogène, afin d'éviter le fameux 'talon d'Achille' que tout attaquant décidé finirait par trouver...  Nul n'est à l'abri d'une attaque... le tout est de se prémunir contre la majorité des attaques, grandissantes en impact et en nombre...  Le remède le plus pragmatique est de faire appel à des professionnels aguerris, à même de répondre immédiatement et efficacement à toute problématique (audit de sécurité proactif et analyse des risques, test d'intrusion, formation en sécurité, accompagnement et conseil, investigation numérique). Notre métier est de protéger le vôtre.

Comment faire passer le message aux dirigeants et aux responsables des entreprises de sans-cesse devoir améliorer la protection de leur données sensibles ?

Comment sensibiliser les directeurs et chefs de projets à intégrer d'emblée la composante sécurité en tant que maillon premier de tout projet ?

Tel un pèlerin avec un message de sécurité

Je me bats personnellement depuis des années pour passer des messages positifs, sensibiliser et accompagner tout type de structure, de la plus petite à la plus grande tout en étant en interaction avec tout profil d'interlocuteur...  et je continue de prêcher la bonne sécuritaire, et continuerait sans répit ces actions de communication qui peuvent être considérées d'actes de civisme, tout simplement.

Je souhaite au plus profond de moi cette prise de conscience collective évolue. Je fais en cette fin d'année un voeux pieux, et je ne fais que prodiguer durant mes interventions le même message: Think Security First*!   (* pensez en premier à la sécurité!)

Aussi, je vous souhaite à tous, pour cette fin d'année 2014 qui s'achève à grands pas et cette nouvelle année 2015 qui se profile rapidement, tous mes meilleurs voeux de bonheur et de réussite pour tous vos projets (et de sécurité, mais cela, vous l'avez déjà bien compris!) 

CP

Notez cet article:
2
SONY Pictures piraté par la Corée du Nord
Serveurs PSN Playstation XBOX attaque par DDOS pou...

Related Posts

 

Commentaires

Guest - newsoftpclab le mardi 23 décembre 2014 12:36

Bonne et heureuse année avec des logiciels gratuits à télécharger pour protéger votre ordinateur des programmes malveillants sur internet

Bonne et heureuse année avec des logiciels gratuits à télécharger pour protéger votre ordinateur des programmes malveillants sur internet
Already Registered? Login Here
Guest
mercredi 7 décembre 2016

Image Captcha

Newsletter Cybersécurité

Restez informé des évènements et nouveautés en cybersécurité et sécurité informatique.

Notre expertise cybersécurité validée par de multiples certifications informatiques

logo-certification-chfi.png
logo-certification-mcse-security.png
logo-certification-cwne.png
logo-certification-cisa.png
logo-certification-itil.png
logo-certification-ecsa.png
logo-certification-crisc-isaca.png
logo-certification-ciso.png
×

Newsletter: abonnez-vous !

Recevez régulièrement les news en sécurité.
Garantissez votre veille permanente
Restez informé, rejoignez notre communauté !