Red Hat Enterprise Linux 3: Introduction à l'administration système | ||
---|---|---|
Précédent | Chapitre 1. Philosophie de l'administration système | Suivant |
Indépendamment de votre perception de l'environnement dans lequel vos systèmes tournent, l'aspect sécurité ne doit jamais être sous-estimé. Même les systèmes autonomes, pourtant pas connectés à l'Internet, ne sont pas à l'abris de dangers (bien que les dangers encourus différent évidemment de ceux auxquels est exposé un système connecté au monde extérieur).
Il est par conséquent extrêmement important, lors de toute action ou décision, de prendre en compte les implications au niveau de la sécurité. La liste suivante illustre les différents aspects que vous devriez toujours prendre en considération :
La nature des menaces possibles sur chacun des systèmes dont vous avez la charge
L'emplacement, le type et la valeur des données disponibles sur ces systèmes
Le type et la fréquence de l'accès autoriser à ces systèmes
Lors de considérations de sécurité, ne commettez pas l'erreur de supposer que les agresseurs potentiels n'attaqueront vos systèmes que de l'extérieur. Dans bien des cas, l'agresseur vient de l'entreprise elle-même. La prochaine fois que vous passerez dans les bureaux, observez les gens autour de vous et posez-vous la question suivante :
Que se passerait-il si cette personne essayait de compromettre notre sécurité ?
![]() | Remarque |
---|---|
Ceci ne signifie en aucun cas que deviez traiter vos collègues comme s'ils étaient des criminels. Néanmoins, en adoptant cette approcheconsistant à examiner le type de travail que chaque personne effectue, vous serez à même de déterminer le type de brèche de sécurité qu'une personne qu'une personne occupant une position donnée pourrait ouvrir, si telle était son intention. |
Alors qu'au niveau de la sécurité, la première réaction de la plupart des administrateurs de système est de se concentrer sur les aspects technologiques, il est important de mettre la situation en perspective. Bien souvent, les brèches de sécurité ne trouvent pas leur origine dans la technologie mais plutôt dans la nature humaine.
Les personnes qui s'intéressent aux infractions de sécurité utilisent souvent les vulnérabilités de la nature humaine pour contourner complètement les accès de contrôle basés sur la technologie. Ce phénomène est connu sous le terme d'ingénierie sociale (ou ES de l'anglais social engineering). Ci-après figure un exemple d'ingénierie sociale :
Le/la standardiste de la deuxième tournée reçoit un appel de l'extérieur. L'interlocuteur prétend être le directeur des finances de votre entreprise (le nom et autres informations sur ce dernier ont été obtenus à partir du cite Web de l'entreprise, sur la page "Équipe de direction").
L'interlocuteur prétend téléphoner d'un endroit à l'autre bout du monde (il se peut que cette information soit une complète invention ou peut être que le site Web de votre entreprise contient un communiqué de presse faisant mention du fait que votre directeur des finances participe à un salon).
L'interlocuteur vous dit des jérémiades ; son ordinateur portable a été volé à l'aéroport et il est en ce moment avec un client important et a besoin de l'accès à l'Internet de l'entreprise afin de vérifier l'état du compte de ce client. Le/la standardiste aurait-il/elle l'amabilité de lui fournir les informations nécessaires à l'autorisation de son accès ?
Savez-vous comment le/la standardiste de l'entreprise agira ? À moins que le/la standardiste en question ne dispose de directives (sous la forme de politiques et procédures), vous ne pouvez garantir le type d'informations qui seront données.
Tout comme les feux de circulation, le but des politiques et procédures est de fournir des directives claires sur ce qui définit un comportement acceptable ou inacceptable. Toutefois, comme pour les feux de circulation, les politiques et procédures ne servent que si tout le monde les suit. Là est bien le coeur du problème — il est peut probable que tout le monde adhérera à vos politiques et procédures. En fait, selon la nature de votre entreprise, il se peut que vous ne disposiez même pas de l'autorité nécessaire pour définir des politiques, est encore moins pour forcer leur application. Que faire dans ce cas-là ?
Malheureusement, il n'a pas de solutions faciles. L'éducation des utilisateurs peut aider à résoudre le problème ; faites tout ce qui est en votre pouvoir pour attirer l'attention de la communauté de vos utilisateurs sur les aspects de sécurité et sur l'ingénierie sociale. Faites des présentations sur la sécurité pendant le déjeuner. Disséminez les références d'articles liés à la sécurité grâce aux listes de diffusion de votre entreprise. Assurez-vous d'être disponible afin de pouvoir agir comme tremplin pour les utilisateurs ayant des questions à propos de choses qui leur semblent étranges.
En bref, disséminez le message parmi vos utilisateurs de toutes les manières possibles.
Précédent | Sommaire | Suivant |
Connaître son entreprise | Niveau supérieur | Planifier à l'avance |