Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions

  




 

 

Linuxtopia - Red Hat Enterprise Linux Introduction a l'administration systeme - Ne consid�rez pas la s�curit� comme une mesure apr�s coup

1.7. Ne consid�rez pas la s�curit� comme une mesure apr�s coup

Ind�pendamment de votre perception de l'environnement dans lequel vos syst�mes tournent, l'aspect s�curit� ne doit jamais �tre sous-estim�. M�me les syst�mes autonomes, pourtant pas connect�s � l'Internet, ne sont pas � l'abris de dangers (bien que les dangers encourus diff�rent �videmment de ceux auxquels un syst�me connect� au monde ext�rieur est expos�).

Il est par cons�quent extr�mement important, lors de toute action ou d�cision, de prendre en compte les implications au niveau de la s�curit�. La liste suivante illustre les diff�rents aspects que vous devriez toujours prendre en consid�ration�:

  • La nature des menaces possibles sur chacun des syst�mes dont vous avez la charge

  • L'emplacement, le type et la valeur des donn�es disponibles sur ces syst�mes

  • Le type et la fr�quence de l'acc�s autoriser � ces syst�mes

Lors de consid�rations de s�curit�, ne commettez pas l'erreur de supposer que les agresseurs potentiels n'attaqueront vos syst�mes que de l'ext�rieur. Dans bien des cas, l'agresseur vient de l'entreprise elle-m�me. La prochaine fois que vous passerez dans les bureaux, observez les gens autour de vous et posez-vous la question suivante�:

Que se passerait-il si cette personne essayait de compromettre notre s�curit�?

NoteRemarque
 

Ceci dit, nous n'insinuons en aucun cas ici que vous deviez traiter vos coll�gues comme s'ils �taient des criminels. N�anmoins, en adoptant cette approche consistant � examiner le type de travail que chaque personne effectue, vous serez � m�me de mieux d�terminer le type de br�che de s�curit� qu'une personne occupant un poste donn� pourrait ouvrir, si telle �tait son intention.

1.7.1. Dangers de l'ing�nierie sociale

Alors qu'au niveau de la s�curit�, la premi�re r�action de la plupart des administrateurs syst�me est de se concentrer sur les aspects technologiques, il est important de mettre la situation en perspective. Bien souvent, les br�ches de s�curit� ne trouvent pas leur origine dans la technologie mais plut�t dans la nature humaine.

Les personnes qui s'int�ressent aux infractions de s�curit� utilisent souvent les vuln�rabilit�s de la nature humaine pour contourner compl�tement les acc�s de contr�le bas�s sur la technologie. Ce ph�nom�ne est connu sous le terme d'ing�nierie sociale (ou SE de l'anglais social engineering). Ci-apr�s figure un exemple d'ing�nierie sociale�:

Le/la standardiste de la deuxi�me tourn�e re�oit un appel de l'ext�rieur. L'interlocuteur pr�tend �tre le directeur des finances de votre entreprise (le nom et d'autres informations sur ce dernier ont �t� obtenus � partir du cite Web de l'entreprise, sur la page "�quipe de direction").

L'interlocuteur pr�tend t�l�phoner d'un endroit � l'autre bout du monde (cette information est peut-�tre une invention de toutes pi�ces ou il se peut que le site Web de votre entreprise contienne un communiqu� de presse pr�cisant que votre directeur des finances participe � un salon international).

L'interlocuteur se plaint�; son ordinateur portable a �t� vol� � l'a�roport, il est en ce moment avec un client important et a besoin de l'acc�s � l'Internet de l'entreprise afin de v�rifier l'�tat du compte de ce client. Le/la standardiste aurait-il/elle l'amabilit� de lui fournir les informations n�cessaires � l'autorisation de son acc�s�?

Savez-vous comment le/la standardiste de l'entreprise r�agira�? � moins que le/la standardiste en question ne dispose de directives (sous la forme de politiques et proc�dures), vous ne savez pas vraiment quelles informations seront donn�es.

Tout comme les feux de circulation, le but des politiques et proc�dures est de fournir des directives claires sur ce qui d�finit un comportement acceptable ou inacceptable. Toutefois, comme pour les feux de circulation, les politiques et proc�dures ne servent que si tout le monde les suit. L� est bien le coeur du probl�me — il est peu probable que tout le monde adh�rera � vos politiques et proc�dures. En fait, selon la nature de votre entreprise, vous ne disposez peut-�tre m�me pas de l'autorit� n�cessaire pour d�finir des politiques, est encore moins pour forcer leur application. Que faire dans ce cas-l�?

Malheureusement, il n'a pas de solutions faciles. L'�ducation des utilisateurs peut aider � r�soudre le probl�me�; faites tout ce qui est en votre pouvoir pour attirer l'attention de la communaut� de vos utilisateurs sur les aspects de s�curit� et sur l'ing�nierie sociale. Faites des pr�sentations sur la s�curit� pendant le d�jeuner. Diss�minez les r�f�rences d'articles li�s � la s�curit� gr�ce aux listes de diffusion de votre entreprise. Assurez-vous d'�tre disponible afin de pouvoir r�pondre aux utilisateurs ayant des questions � propos de choses qui leur semblent �tranges.

En bref, diss�minez le message parmi vos utilisateurs de toutes les mani�res possibles.

 
 
  Published under the terms of the GNU General Public License Design by Interspire