|
La VP sécurité de Sun nous dit comment elle conçoit l'équilibre entre accessibilité et contrôle d'accès
Inner Circle Subscriber Center
Get the content that meets your interests and needs:
Not a member?
|
Ouvrir le réseau aux utilisateurs considérés comme bienvenus tout en le fermant aux indésirables : telle est la délicate mission confiée à la plupart des responsables de la sécurité informatique. Et dans un monde où chacun exige désormais le plein accès à des communautés extérieures telles que les sites de réseaux sociaux, cet enjeu devient primordial. Leslie Lambert, vice-présidente responsable de la sécurité de l'information chez Sun, livre aux lecteurs d'Inner Circle un ensemble de suggestions pour protéger leur entreprise par des politiques fortes et par une pratique du dialogue social consistant à dire comment faire plutôt que d'interdire.
Q: Quel est le rôle d'une responsable de la sécurité de l'information ?
R: J'ai pour mission de protéger l'information stockée sous forme numérique, ce qui comprend les actifs informationnels de l'entreprise tels que les éléments de propriété intellectuelle, les données clients, les secrets industriels, le code source et toute autre information confidentielle résidant sur notre réseau, nos serveurs ou nos systèmes de stockage. Je ne m'occupe pas de la sécurité physique des sites, qui relève de la gestion des bâtiments, des badges d'identification et du personnel de surveillance.
Q: Comment gérez-vous le paradoxe consistant à ouvrir le réseau aux utilisateurs considérés comme bienvenus tout en le fermant aux indésirables ?
Nous avons recours à des pratiques de « contrôle d'accès » standard en place depuis des années. Nous savons identifier clairement les utilisateurs autorisés à accéder au réseau étendu de Sun — qu'il s'agisse des membres du personnel ou de la vaste catégorie des acteurs associés à Sun, tels que sous-traitants, consultants, partenaires, constructeurs externes, revendeurs, etc. Nous employons notamment toutes les bonnes vieilles méthodes de contrôle d'accès parmi lesquelles la gestion des identités, la gestion de l'accès, le rôle de gestion, et plus encore.
Notre culture d'entreprise est relativement ouverte — plus proche de celle d'une université que d'une grande entreprise — dans la mesure où nous utilisons et soutenons activement les technologies Internet et les réseaux sociaux. En tant que fournisseur d'infrastructures informatiques d'un bon nombre de ces entreprises Internet, Sun ne peut se contenter de faciliter leur croissance : il les soutient également à travers ses propres activités.
Q: Quelles sont les menaces d'intrusion les plus graves du moment ?
R: Les principales menaces restent les différentes formes de logiciel malveillant. La création de virus, de vers et de botnets était jadis le fait d'individus isolés opérant depuis leur garage. Nous avons aujourd'hui affaire à de véritables « industriels » établis dans certains pays du globe, qui sont probablement très bien financés par le crime organisé et tirent d'énormes profits de leurs méfaits. Si les auteurs d'intrusions parviennent à exploiter de longues listes de numéros de carte de crédit avec un fort taux de réussite, il s'agira pour eux d'un bon retour sur le temps investi dans le développement de l'infection. Les botnets peuvent proliférer sur un réseau, infecter de nombreux ordinateurs et détourner la capacité de traitement collective de ces machines au profit de leurs activités répréhensibles. Je ne saurais donc trop vous conseiller de tenir à jour vos programmes antivirus et antispyware — non seulement à l'échelle de l'entreprise mais sur tous les systèmes individuels.
Q: Quelles sont les principaux éléments à prendre en considération pour sécuriser l'accès à son entreprise ?
R: La priorité numéro 1 est de savoir à qui vous entendez donner ou refuser l'accès. En second lieu, vous devez disposer de mécanismes et de processus efficaces pour assurer le contrôle. Il est conseillé de mettre en place un cadre de certification tel que les normes ISO 27001 ou 27002 — ou quelque autre standard de bonnes pratiques pour la sécurité de l'information. Il faut ensuite compléter ce cadre par un certain niveau d'automatisation. Un traitement manuel est tout simplement exclu compte tenu de l'ampleur de la tâche et de la rapidité avec laquelle nous sommes tenus d'opérer. Les produits de gestion des identités et de contrôle d'accès sont donc indispensables pour gérer les services de contrôle d'accès.
Mon conseil, si vous décidez d’autoriser l’accès aux réseaux sociaux, serait d’établir une charte d’utilisation définissant clairement les pratiques acceptables ou non.
Q: Est-il plus risqué pour l'entreprise d'autoriser ou d'interdire l'accès aux réseaux sociaux ?
R: L'accès des employés aux sites de réseaux sociaux est actuellement un sujet sensible. C'était d'ailleurs le thème d'une table ronde sur la sécurité informatique à laquelle j'ai récemment participé. Ambassadeur de la philosophie de Sun favorisant l'ouverture et la connexion à travers les réseaux sociaux, j'avais pour voisin le CSO d'une entreprise de fabrication interdisant tout accès des employés à ce type de sites. Chaque environnement est différent. Mais le principe même du réseau social — des gens qui se connectent, collaborent et partagent — correspond à ce que nous faisons depuis des années, avec des outils nommés forums, babillards ou sessions de chat. L'apparition de sites conviviaux tels que Facebook, MySpace ou LinkedIn n'est qu'un prolongement de ces outils. Il ne vous viendrait pas à l'esprit de publier vos secrets industriels sur un forum. Nous devons simplement sensibiliser les employés et leur apprendre à observer cette même ligne de conduite, afin qu'ils s'abstiennent de divulguer des secrets industriels, des données client ou des éléments de propriété intellectuelle sur des sites de réseaux sociaux accessibles à tous.
J'estime qu'interdire l'accès à ces outils est un combat perdu d'avance. Le seul moyen pour y parvenir serait de fermer le réseau, de couper le courant et de confisquer tous les ordinateurs. L'accès est désormais possible via un simple téléphone portable ou PDA, et les gens mettront en œuvre toute leur créativité pour arriver à leurs fins. Et si, comme Sun, vous recrutez de jeunes diplômés de la génération du millénaire, vous savez qu'ils tiennent pour acquis l'accès à ces outils et services. A vous de suivre le mouvement si vous entendez rester un employeur attractif et compétitif sur le marché des technologies de l'information.
Mon conseil, si vous décidez d'autoriser l'accès aux réseaux sociaux, serait d'établir une charte d'utilisation définissant clairement les pratiques acceptables ou non. Sun dispose pour sa part de directives et de politiques parfaitement connues des employés, qui sont ainsi en mesure d'utiliser ces outils avec profit pour le compte de l'entreprise. Chacun de nos employés est censé connaître et tenu d'appliquer ces consignes et ces politiques, qui vont jusqu'à définir les sanctions prévues en cas de manquement (licenciement, impact sur le score de performance, poursuites judicaires, etc.). Il est à mon avis extrêmement risqué de miser sur le fait que les employés n'accéderont pas à ces sites car, dans le cas contraire, l'accès s'effectuera hors de toute politique ou action de sensibilisation.
Q: Comment l'entreprise doit-elle aborder la coopération avec des partenaires et communautés externes moins rigoureuse qu'elle quant à leurs pratiques de sécurité ?
Il vous appartient de décider de votre niveau d’appétit pour le risque et de créer les politiques de sécurité correspondantes. Si un partenaire démontre moins de rigueur que vous dans ses pratiques de sécurité, il y a peut-être lieu de reconsidérer ce partenariat.
R: Il vous appartient de décider de votre niveau d'appétit pour le risque et de créer les politiques de sécurité correspondantes. Si un partenaire démontre moins de rigueur que vous dans ses pratiques de sécurité, il y a peut-être lieu de reconsidérer ce partenariat. Car les risques excessifs qu'il prend pour son propre compte rejailliront nécessairement sur vous. C'est pourquoi nous communiquons nos pratiques de sécurité à nos partenaires en leur demandant d'envisager l'application d'une ligne de conduite analogue. Avant de nous engager dans une relation contractuelle, nous exigeons de nos partenaires qu'ils se conforment à certaines règles. Il y a seulement deux ans, ces exigences auraient sans doute paru excessives. Mais le niveau de conscience de nos partenaires a progressé, à tel point qu'ils acceptent aujourd'hui les conditions à remplir pour travailler avec certaines entreprises.
Q: La question des mots de passe vous tient particulièrement à cœur : quelques conseils à ce sujet ?
Avec plaisir. Deviner le mot de passe est une méthode courante pour accéder à un système, et quelques minutes suffisent pour craquer un mot de passe mal choisi. Voici quelques règles à observer :
- Excluez toute information personnelle. Aucune partie de vos nom, adresse et date de naissance, ou du nom de votre chien ou chat, de vos amis ou de vos parents — ni aucune autre information aisément accessible — ne doivent être utilisées dans un mot de passe.
- N'utilisez jamais de mots figurant dans un dictionnaire, quelle que soit la langue. Évitez les combinaisons de plusieurs mots du dictionnaire, les répétitions du type « aaaaaa » ou les séquences trop évidentes telles que « azerty », « abcde » ou « 12345 ».
- Renoncez aux substitutions lettres/chiffres courantes dans des mots existants. Certaines de ces substitutions, telles que « 1 » pour
« i », « 3 » pour « e » ou encore le chiffre « 0 » pour « o » sont si fréquentes qu'elles sont systématiquement essayées lors des tentatives de craquage de mots de passe.
- Trouvez-vous une « expression de passe ». Prenez l'initiale de chaque mot de l'une de vos expressions favorites (titre de votre chanson ou livre préféré, citation, etc.) afin de créer une chaîne de caractères ne figurant dans aucun dictionnaire et néanmoins facile à mémoriser et à retrouver.
- Cumulez différents types de caractères. Alternez minuscules et majuscules, chiffres et/ou caractères spéciaux pour accoler un préfixe ou un suffixe absolument unique à votre mot de passe. Ajoutez des caractères jusqu'à atteindre une longueur minimale de 8 caractères. La longueur du mot de passe revêt en effet une grande importance.
- Pour vos indices de mot de passe, évitez les questions trop évidentes. Le mot de passe le plus complexe reste extrêmement facile à voler si l'indice associé est trop aisément interprétable.
|
