Comme chaque fin d’année, les bilans des sociétés de consulting ont été publiés au plus fort de l’hiver pour tirer les conclusions des expériences de l’année 2011. Sans grosses surprises, les principales raisons ayant causées une faille tournent autour des mots de passe faibles/par défaut ou encore des machines non mises à jour et offrant donc des possibilités pour tout pirate en devenir.
Raison 1 : parce que votre environnement de production possèdent des serveurs sous Microsoft Windows. Ne mentez pas ! Je le sais. Le patch Tuesday n’est pas fait pour les cochons.
Raison 2 : parce que, comme pour les enfants, il faut mettre tout le monde d’accord. Entre le kernel, les librairies et les applications, le monde Linux doit désormais subir le fléau des mises à jour de la même façon que le monde Microsoft. Vous n’êtes pas d’accord ? Alors commentez le post ;-)
On notera que même les services en mode cloud sont touchés par ces nécessités d’exploitation. Ainsi, le service cloud d‘Amazon est lui-même concerné et subit les mêmes problématiques de production qu’un mode plus traditionnel.
Doit-on trouver cela anormal ? Pour ma part je considère que non. Il est même assez intéressant de constater que les risques d’interruption liés à ces opérations de maintenance sont indiqués aux utilisateurs en toute transparence. Tant que la communication est faite convenablement en prenant en compte les nécessités des clients, je dirais même que cette transparence montre le sérieux dans la maintenance du système.
Raison 3 : parce qu’une procédure, c’est quand même fait pour être utilisée. Et oui, cherchez bien. Vous allez découvrir que quelqu’un a travaillé sur ce sujet et réalisé toute la documentation nécessaire pour vous accompagner sur cet épineux chemin.
Si vous faites parti des chanceux qui peuvent surfer sur la vague du BYOD (Bring Your Own Device), vous échappez peut être au cadre stricte des procédures de votre entreprise, mais en aucun cas aux risques qu’elle est censée couvrir. Alors faites-vous du bien, mettez à jour!
Raison 4 : parce que ce point est abondamment commenté dans la politique de sécurité de votre entreprise signée par votre grand patron. Il serait mauvais de la mettre en porte à faux non ?
Alors oui, la mise à jour intervient généralement ou moment de la présentation AU CLIENT essentiel qu’il faut absolument garder, convaincre, remettre de bonne humeur, etc… mais c’est pour la bonne cause. Vous faites plaisir au chef, et surtout, vous agissez pour que le patrimoine de la société soit protégé. Soyez patient, Dieu vous le rendra.
Raison 5 : faire plaisir à son responsable sécurité. Ce n’est pas tous les jours qu’il voit ses conseils et procédures mis en œuvre. Croyez-moi, c’est un rôle ingrat. Je suis sûr que tous les CISO verront une justification de leur travail, et donc une nouvelle motivation, par le simple fait que leurs recommandations soient suivies.
Raison 6 : parce que c’est l’une des premières choses que regarde un auditeur. Alors faites-vous du bien et évitez les commentaires classiques sur ce point, avec le plan d’action inévitable qui surgira derrière.
Raison 7 (corollaire de la 6) : soyez sûr d’avoir au moins un point positif dans votre audit.
Raison 8 : parce qu’être moins rigoureux avec ses serveurs qu’avec les machines de ses utilisateurs, c’est quand même dommage. D’autant plus qu’en cas de perte, le serveur aura un impact beaucoup plus important que le poste d’un utilisateur.
Raison 9 : parce que les risques de pénétration via des failles ne sont pas un mythe. L’outil metasploit utilisé par les auditeurs le montre bien et met cette technologie à la portée de beaucoup trop de monde.
Raison 10 : et si c’était simplement pour assurer la sécurité de votre entreprise et avoir le sentiment du travail bien fait ?
Aller, lancez la mise à jour cette nuit. Quand vous reviendrez demain matin, le travail sera fait sans que votre activité soit perturbée et de nombreuses personnes en seront satisfaites.
Raison Bonus : parce que le Biba du mois de mars le recommande (conseillé par Fortinet quand même). Que le premier qui n’a jamais lu les magasines de sa femme lance la première pierre…
Cedric
credit photo : © Yahia LOUKKAL - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.