Ind�pendamment de votre perception de l'environnement dans lequel vos syst�mes tournent, l'aspect s�curit� ne doit jamais �tre sous-estim�. M�me les syst�mes autonomes, pourtant pas connect�s � l'Internet, ne sont pas � l'abris de dangers (bien que les dangers encourus diff�rent �videmment de ceux auxquels un syst�me connect� au monde ext�rieur est expos�).
Il est par cons�quent extr�mement important, lors de toute action ou d�cision, de prendre en compte les implications au niveau de la s�curit�. La liste suivante illustre les diff�rents aspects que vous devriez toujours prendre en consid�ration�:
Lors de consid�rations de s�curit�, ne commettez pas l'erreur de supposer que les agresseurs potentiels n'attaqueront vos syst�mes que de l'ext�rieur. Dans bien des cas, l'agresseur vient de l'entreprise elle-m�me. La prochaine fois que vous passerez dans les bureaux, observez les gens autour de vous et posez-vous la question suivante�:
1.7.1. Dangers de l'ing�nierie sociale
Alors qu'au niveau de la s�curit�, la premi�re r�action de la plupart des administrateurs syst�me est de se concentrer sur les aspects technologiques, il est important de mettre la situation en perspective. Bien souvent, les br�ches de s�curit� ne trouvent pas leur origine dans la technologie mais plut�t dans la nature humaine.
Les personnes qui s'int�ressent aux infractions de s�curit� utilisent souvent les vuln�rabilit�s de la nature humaine pour contourner compl�tement les acc�s de contr�le bas�s sur la technologie. Ce ph�nom�ne est connu sous le terme d'ing�nierie sociale (ou SE de l'anglais social engineering). Ci-apr�s figure un exemple d'ing�nierie sociale�:
Le/la standardiste de la deuxi�me tourn�e re�oit un appel de l'ext�rieur. L'interlocuteur pr�tend �tre le directeur des finances de votre entreprise (le nom et d'autres informations sur ce dernier ont �t� obtenus � partir du cite Web de l'entreprise, sur la page "�quipe de direction").
L'interlocuteur pr�tend t�l�phoner d'un endroit � l'autre bout du monde (cette information est peut-�tre une invention de toutes pi�ces ou il se peut que le site Web de votre entreprise contienne un communiqu� de presse pr�cisant que votre directeur des finances participe � un salon international).
L'interlocuteur se plaint�; son ordinateur portable a �t� vol� � l'a�roport, il est en ce moment avec un client important et a besoin de l'acc�s � l'Internet de l'entreprise afin de v�rifier l'�tat du compte de ce client. Le/la standardiste aurait-il/elle l'amabilit� de lui fournir les informations n�cessaires � l'autorisation de son acc�s�?
Savez-vous comment le/la standardiste de l'entreprise r�agira�? � moins que le/la standardiste en question ne dispose de directives (sous la forme de politiques et proc�dures), vous ne savez pas vraiment quelles informations seront donn�es.
Tout comme les feux de circulation, le but des politiques et proc�dures est de fournir des directives claires sur ce qui d�finit un comportement acceptable ou inacceptable. Toutefois, comme pour les feux de circulation, les politiques et proc�dures ne servent que si tout le monde les suit. L� est bien le coeur du probl�me — il est peu probable que tout le monde adh�rera � vos politiques et proc�dures. En fait, selon la nature de votre entreprise, vous ne disposez peut-�tre m�me pas de l'autorit� n�cessaire pour d�finir des politiques, est encore moins pour forcer leur application. Que faire dans ce cas-l�?
Malheureusement, il n'a pas de solutions faciles. L'�ducation des utilisateurs peut aider � r�soudre le probl�me�; faites tout ce qui est en votre pouvoir pour attirer l'attention de la communaut� de vos utilisateurs sur les aspects de s�curit� et sur l'ing�nierie sociale. Faites des pr�sentations sur la s�curit� pendant le d�jeuner. Diss�minez les r�f�rences d'articles li�s � la s�curit� gr�ce aux listes de diffusion de votre entreprise. Assurez-vous d'�tre disponible afin de pouvoir r�pondre aux utilisateurs ayant des questions � propos de choses qui leur semblent �tranges.
En bref, diss�minez le message parmi vos utilisateurs de toutes les mani�res possibles.
