Discussion :

[Stéphane le calme]

Les systèmes informatiques des entreprises seraient moins sûrs qu'elles ne le pensent,
d'après une enquête de CompTIA

Dans un récent sondage de 1000 professionnels de l'informatique et d'entreprises, CompTIA, une association à but non lucratif pour l'industrie TI, a révélé que 82 % des entreprises de son panel pensaient que leur niveau de sécurité était totalement ou en grande partie satisfaisant. Seul 13 % des répondants du panel ont apporté des changements drastiques à leur approche de la sécurité au cours des deux dernières années.

Pour Seth Robinson, directeur de l'analyse de la technologie pour CompTIA, « l'utilisation de nouvelles technologies implique un changement dans l'approche de la sécurité ». Et il remarque : « quelquefois, par le passé, ils (les répondants) ont fait une analyse approfondie de leur situation en matière de sécurité. Mais avec les grands changements technologiques que nous observons, cette analyse s'avère un peu obsolète ».

La plupart de ces entreprises mettent encore l'accent sur le piratage et les malwares comme étant les principales menaces auxquelles elles sont confrontées. Pourtant, le paysage est en train d'évoluer ; de nouvelles menaces font leur apparition et sont de plus en plus fréquentes comme les attaques DDoS, IPv6 ou encore les malwares mobiles.

CompTia identifie le facteur humain comme étant la cause principale des failles de sécurité. Plus de la moitié du panel (51 %) a déclaré que l'erreur humaine était devenue un problème des plus importants au cours de ces deux dernières années. CompTia tente d'expliquer en partie ce constat avec l'introduction du Cloud computing, des appareils mobiles et des réseaux sociaux en entreprises. Dans la plupart des cas, il s'avère que les employés ne se rendent pas compte que leur comportement est risqué ou viole les politiques d'entreprise. Toutefois, bien que reconnaissant que l'erreur humaine est devenue une menace plus importante, seulement un répondant sur cinq y voyait une « grave préoccupation ».

Pour Robinson, cette contradiction est probablement imputable à l'ignorance lors de l'utilisation de nouvelles technologies. Alors que les entreprises savent comment renforcer la sécurité contre les logiciels malveillants, elles ont moins l'habitude de résoudre les problèmes liés à un manque d'expérience dans une technologie récente.

Le sondage rapporte également que les entreprises éprouvent de la difficulté à trouver des professionnels de la sécurité ayant les compétences nécessaires sur les technologies émergentes. Les domaines les plus dépourvus sont la sécurité du Cloud et du mobile, la prévention de la perte de données et l'analyse des risques.

Source : CompTia

Et vous ?

Qu'en pensez-vous ?

[jmnicolas]

Dans ma boite je suis très lucide sur l'état de notre sécurité : lamentable.

Mais ça ne semble gêner que moi, et comme je n'ai pas les connaissances nécessaires pour y remédier j’attends avec fatalisme qu'on tombe dans le collimateur d'un script-kiddie.

[gangsoleil]

A l'inverse, il y a de grandes boites qui sont tellement preoccupees par la securite que ca en devient vraiment genant pour les utilisateurs, ce qu'elles ne prennent pas en compte.

Mot de passe avant le demarrage du PC (pour le cryptage du disque dur), puis carte a puce + login + mot de passe a changer regulierement (trop), plus encore une connexion VPN securisee avec un mot de passe different du premier...
Il ne doit y avoir aucun papier ayant un nom de client sur les bureaux, ni aucun papier compremettant d'ailleurs. Et bien sur, les bureaux doivent etre fermes a cle lorsqu'on en sort...

Resultat, les gens passent de plus en plus de temps a faire des conneries administratives et a noter leur mot de passe sur un papier sous le clavier (ou dans le tiroir du haut) qu'a travailler.


Oui, c'est bien la securite. Mais lorsque l'entreprise veut que les employes puissent travailler tout le temps et partout, depuis leur PC portable, leur tablette et leur telephone, il est evident que l'impact securite -- qui n'est jamais pris en compte -- est tres couteux.

Et a l'inverse, combien de boites sont de veritables passoires, qui n'ont pour seule chance que de n'interesser absolument personne jusqu'ici.

[imikado]

Une question simple: combien d'entreprise font auditer les applications web qu'elles mettent en production ?

Ça répond à la question

[Sylvaner]

82% de satisfait ça fait beaucoup quand on voit toutes les failles 0day qu'on découvre toutes les semaines. Pour ma part, je ne pourrais jamais considéré qu'un ordinateur est sûr.

[vb159753]

Sylvaner, imikado, gangsoleil, jmnicolas, vous avez tous des avis sensé.

@jmnicolas:

Dans ma boite je suis très lucide sur l'état de notre sécurité : lamentable.

J'ai le même sentiment, c'est déconcertant.

@gangsoleil:
Est oui, plus on augmente la sécurité, plus c'est contraignant, et quand un salarier n'as pas le temps, tu peut lui dire tous se que tu veut, il entend pas, il vas quand même brancher la 1ere clef USB qu'il trouve sur le serveur.

@imikado:

Une question simple: combien d'entreprise font auditer les applications web qu'elles mettent en production ?

C'est une très bonne question, je serais curieux de voir le résultat.
Mais je ne me fais pas trop d'illusion, les audits ne leur rapport pas grand chose sur le court terme. Allez, je moins de 10%, qui dit mieux?

@Sylvaner:

Pour ma part, je ne pourrais jamais considéré qu'un ordinateur est sûr.

La sécurité, en informatique, c'est utopique, il y aura de toute manière toujours quelqu'un , quelque part qui trouvera une fail.
Il n'y à que la cryptographie qui est assez solide.

[imikado]

Les audits ne rapportent pas d'argent, au contraire ils en coute, mais dans la finance, il nous est impensable de livrer en production un site web non audité.

C'est un coût à court terme pour éviter des effets néfaste sur notre image à long terme
De plus, les audits ont deux avantages:
1. ils nous informent/forment aux bonnes pratiques à prendre en compte dans nos développements
2. ils nous permettent de confirmer que l'on a bien appris au dernier audit permettant au fil de ceux-ci d'avoir de moins en moins de failles trouvées
3. pour les clients/partenaires, c'est un gage de qualité.

[kOrt3x]

Il va y avoir du travail pour les experts en sécurité dans les années qui viennent.
Ce qu'il manque aussi, c'est de former les employés, car c'est surtout eux les failles de sécurité.

[Chauve souris]

Parce qu'ils ne sont pas bien geeks dans les entreprises. Bon, ne m'accusez pas de misogynie mais dans les bureaux en France c'est au moins 80 % de personnel féminin. Jamais trop compris pourquoi il fallait être une femme pour utiliser Word ou Excel, mais c'est comme ça. Ca explique aussi pourquoi je n'ai jamais pu dégotter un job quand j'ai bouclé ma boutique. J'aurais pu changer de genre (facile puisque je m'appelle William Marie il suffit d'inverser), mais je crois que le résultat aurait été aussi désastreux que Gérard Depardieu dans "Tenue de soirée" Donc ces dames ne s'intéressent nullement à l'informatique. Spécialité française au demeurant, rien qu'en Espagne c'est réellement mixte dans les bureaux. J'ai tenu un peu plus de deux ans une boutique de micro à Toulouse et je n'ai pas vu une seule hobbiste micro. D'ailleurs dans les boîtes françaises on ne connait que les fax. Envoyer un e-mail, quand ça existe, on ne sait pas où ça va, de toute façon on n'a jamais de réponse. Tout ça pour vous dire que la sécurité, elles s'en foutent. Déjà que les sauvegardes, yapa, les MAJ de sécurité, idem. Et toute tentative en ce sens venant d'une hiérarchie technique sera considérée comme une insupportable contrainte.

Bien maintenant les féministes virulents (et ils le sont d'autant plus que ce sont des hommes) vont appuyer frénétiquement sur le pouce rouge de ce message

[obaoba]

Bonjour,

A mon avis, les principaux risques que peut l'entreprise faire face, sont ses propres employés... car dans un 1er temps ils savent mieux que les étrangers son système d'information, comment accéder ... les systèmes et outils utilisés...
La plupart des entreprises néglige ce point, les principaux espionnages qu'on peut détecter c'est chez les employés (stagiaires, anciens ou titulaires...)

Merci.

[gangsoleil]

D'ailleurs dans les boîtes françaises on ne connait que les fax. Envoyer un e-mail, quand ça existe, on ne sait pas où ça va, de toute façon on n'a jamais de réponse. Tout ça pour vous dire que la sécurité, elles s'en foutent. Déjà que les sauvegardes, yapa, les MAJ de sécurité, idem. Et toute tentative en ce sens venant d'une hiérarchie technique sera considérée comme une insupportable contrainte.

Independamment du genre, je ne sais pas ou tu as travaille, mais je n'ai jamais vu de telles retards dans une entreprise aujourd'hui.

Et oui, la securite est une contrainte, que tu sois geek ou non n'a rien a voir la dedans : est-ce que tu preferes qu'on te laisse bosser sur ton algo ou qu'on t'explique que bah oui, mais la c'est 19h, et il faut 12h pour faire la sauvegarde, et donc on la lance maintenant, ton PC va ramer et tout le monde s'en fou ?

Comment ? 19h c'est pas acceptable, car toi tu bossais bien ? Ah bah oui, mais la securite passe avant tout mon bon monsieur.