Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Introduction a l'administration systeme - Ne consid�rez pas la s�curit� comme une mesure apr�s coup

1.7. Ne consid�rez pas la s�curit� comme une mesure apr�s coup

Ind�pendamment de votre perception de l'environnement dans lequel vos syst�mes tournent, l'aspect s�curit� ne doit jamais �tre sous-estim�. M�me les syst�mes autonomes, pourtant pas connect�s � l'Internet, ne sont pas � l'abris de dangers (bien que les dangers encourus diff�rent �videmment de ceux auxquels un syst�me connect� au monde ext�rieur est expos�).

Il est par cons�quent extr�mement important, lors de toute action ou d�cision, de prendre en compte les implications au niveau de la s�curit�. La liste suivante illustre les diff�rents aspects que vous devriez toujours prendre en consid�ration�:

  • La nature des menaces possibles sur chacun des syst�mes dont vous avez la charge

  • L'emplacement, le type et la valeur des donn�es disponibles sur ces syst�mes

  • Le type et la fr�quence de l'acc�s autoriser � ces syst�mes

Lors de consid�rations de s�curit�, ne commettez pas l'erreur de supposer que les agresseurs potentiels n'attaqueront vos syst�mes que de l'ext�rieur. Dans bien des cas, l'agresseur vient de l'entreprise elle-m�me. La prochaine fois que vous passerez dans les bureaux, observez les gens autour de vous et posez-vous la question suivante�:

Que se passerait-il si cette personne essayait de compromettre notre s�curit�?

NoteRemarque
 

Ceci dit, nous n'insinuons en aucun cas ici que vous deviez traiter vos coll�gues comme s'ils �taient des criminels. N�anmoins, en adoptant cette approche consistant � examiner le type de travail que chaque personne effectue, vous serez � m�me de mieux d�terminer le type de br�che de s�curit� qu'une personne occupant un poste donn� pourrait ouvrir, si telle �tait son intention.

1.7.1. Dangers de l'ing�nierie sociale

Alors qu'au niveau de la s�curit�, la premi�re r�action de la plupart des administrateurs syst�me est de se concentrer sur les aspects technologiques, il est important de mettre la situation en perspective. Bien souvent, les br�ches de s�curit� ne trouvent pas leur origine dans la technologie mais plut�t dans la nature humaine.

Les personnes qui s'int�ressent aux infractions de s�curit� utilisent souvent les vuln�rabilit�s de la nature humaine pour contourner compl�tement les acc�s de contr�le bas�s sur la technologie. Ce ph�nom�ne est connu sous le terme d'ing�nierie sociale (ou SE de l'anglais social engineering). Ci-apr�s figure un exemple d'ing�nierie sociale�:

Le/la standardiste de la deuxi�me tourn�e re�oit un appel de l'ext�rieur. L'interlocuteur pr�tend �tre le directeur des finances de votre entreprise (le nom et d'autres informations sur ce dernier ont �t� obtenus � partir du cite Web de l'entreprise, sur la page "�quipe de direction").

L'interlocuteur pr�tend t�l�phoner d'un endroit � l'autre bout du monde (cette information est peut-�tre une invention de toutes pi�ces ou il se peut que le site Web de votre entreprise contienne un communiqu� de presse pr�cisant que votre directeur des finances participe � un salon international).

L'interlocuteur se plaint�; son ordinateur portable a �t� vol� � l'a�roport, il est en ce moment avec un client important et a besoin de l'acc�s � l'Internet de l'entreprise afin de v�rifier l'�tat du compte de ce client. Le/la standardiste aurait-il/elle l'amabilit� de lui fournir les informations n�cessaires � l'autorisation de son acc�s�?

Savez-vous comment le/la standardiste de l'entreprise r�agira�? � moins que le/la standardiste en question ne dispose de directives (sous la forme de politiques et proc�dures), vous ne savez pas vraiment quelles informations seront donn�es.

Tout comme les feux de circulation, le but des politiques et proc�dures est de fournir des directives claires sur ce qui d�finit un comportement acceptable ou inacceptable. Toutefois, comme pour les feux de circulation, les politiques et proc�dures ne servent que si tout le monde les suit. L� est bien le coeur du probl�me — il est peu probable que tout le monde adh�rera � vos politiques et proc�dures. En fait, selon la nature de votre entreprise, vous ne disposez peut-�tre m�me pas de l'autorit� n�cessaire pour d�finir des politiques, est encore moins pour forcer leur application. Que faire dans ce cas-l�?

Malheureusement, il n'a pas de solutions faciles. L'�ducation des utilisateurs peut aider � r�soudre le probl�me�; faites tout ce qui est en votre pouvoir pour attirer l'attention de la communaut� de vos utilisateurs sur les aspects de s�curit� et sur l'ing�nierie sociale. Faites des pr�sentations sur la s�curit� pendant le d�jeuner. Diss�minez les r�f�rences d'articles li�s � la s�curit� gr�ce aux listes de diffusion de votre entreprise. Assurez-vous d'�tre disponible afin de pouvoir r�pondre aux utilisateurs ayant des questions � propos de choses qui leur semblent �tranges.

En bref, diss�minez le message parmi vos utilisateurs de toutes les mani�res possibles.

 
 
  Published under the terms of the GNU General Public License Design by Interspire