Produits
Solutions
- Par technologies
  - IAM
  - PAM
  - VDI
  - ZTNA
- Par cas d’usages
  - Télétravail
    
    Afin de s’adapter aux nouveaux usages en matière de mobilité, de télétravail ou d’infogérance, les entreprises et organisations doivent permettre aux collaborateurs d’accéder depuis l’extérieur au SI via une expérience transparente pour l’utilisateur en matière d’ergonomie et de performance, tout en garantissant la sécurité des accès depuis un poste ou un réseau non maîtrisés....
    Lire le cas d'usage
  - Accès de tiers (prestataire, écosystème)
    
    Pour s’assurer de l’adhésion des utilisateurs et de la DSI, toute solution IT doit garantir une expérience d’accès et d’utilisation optimale tout en élevant la sécurité du SI sans que cela soit vécu comme une contrainte par l’utilisateur....
    Lire le cas d'usage
  - Surveillance des accès (traçabilité et audit des accès)
    
    La sécurité des systèmes d’informations (SSI) repose principalement sur celle de son maillon le plus faible qui est également l’élément essentiel : l’humain....
    Lire le cas d'usage
  - Conformité réglementaire
    
    La conformité aux multiples réglementations est parfois perçue comme une contrainte mais elle est pourtant nécessaire pour garantir une sécurité efficace du SI....
    Lire le cas d'usage
  - Agilité de la gestion des accès
    
    Les mouvements de collaborateurs, qu’il s’agisse de turnover, rotation interne ou d’infogérance ou encore les opérations de fusion acquisition nécessitent que la DSI puisse bénéficier d’une réelle agilité dans un souci de fluidification de ces mouvements et d’élévation du niveau de sécurité du SI....
    Lire le cas d'usage
  - Remplacement d’une solution en place
    
    Que ce soit pour garantir la sécurité du SI, optimiser l’expérience de travail ou simplifier la gestion des applications, les entreprises et organisations peuvent être amenées à moderniser et remplacer leurs solutions IT devenues obsolètes et qui ne proposent plus les innovations pour répondre aux enjeux de l’inclusion digitale....
    Lire le cas d'usage
  - Virtualisation de bureau ou d’application
    
    La solution de virtualisation d’applications et des postes de travail aux fonctionnalité avancées adaptée à toutes les organisations, et permettant de tirer le meilleur parti des infrastructures hyperconvergées....
    Lire le cas d'usage
  - « SaaSification » d’applications
    
    La virtualisation d’applications permet aux organisations de rendre disponibles toutes leurs applications métiers en mode SaaS....
    Lire le cas d'usage
  - Le cloud comme un levier
    
    Rendre l’accès aux applications indépendantes des systèmes d’exploitation et devices utilisés par les collaborateurs d’une organisation....
    Lire le cas d'usage
  - Risque digital et protection des données
    
    La multiplication des données au sein des entreprises et organisations, ainsi que leur caractère parfois sensible rend leur protection indispensable contre tout risque de fuite potentiellement dévastateur comme nous le rappellent quotidiennement les unes de la presse....
    Lire le cas d'usage
Partenaires
Ressources
- Événements
- Témoignages clients
- Blog
- Customer Success
  Nous vous proposons des formations adaptées à votre profil, soit en self-service en ligne, que vous pouvez suivre à votre rythme, soit dispensées par un consultant Systancia
  Découvrez nos formations
Systancia

SystanciaBlogCybersécuritéLa sécurité n’est pas une entrave

La sécurité n’est pas une entrave

Je me presse de rire de tout, de peur d’être obligé d’en pleurer.
Pierre DAC

Les principaux axes de la sécurité des systèmes d’information (SSI) sont au nombre de trois : la sensibilisation, la sécurité physique et les technologies de l’information (les moyens mis en œuvre).

Au sujet de la sensibilisation, en une petite vingtaine d’années, voici un petit florilège de phrases que j’ai déjà entendues (liste non exhaustive malheureusement) :

La sécurité ne sert à rien et puis ça coûte cher !
Il n’y a rien de secret dans ce qu’on fait.
C’est compliqué !
Tu es franchement parano…
Pour la complexité des mots de passe, on va y aller mollo : d’abord la longueur puis ensuite on diversifiera l’alphabet.
Un filtre de confidentialité ? Pffff, ça ne sert à rien.

Et encore, je vous passe les avis farfelus sur le chiffrement (quand ce ne sont pas les mots cryptage ou chiffrage qui sont utilisés…), la complexité des mots de passe, les sauvegardes non protégées voire sans preuve d’intégrité, les échanges et stockages de couples identifiant/authentifiant, les sessions de travail non verrouillées, etc. On connaît tous un « expert » qui connaît tout sur tout, qui a un avis sur tout, qui ne travaille pas dans le domaine mais qui en parle ex professo, non ?
La sécurité (et par transitivité, la sensibilisation) est importante car il y a des obligations légales, contractuelles dans certains cas, éthiques, déontologiques mais surtout parce qu’il y a des risques (croissance exponentielle des attaques en plus de 10 ans). On ne roule pas dans une voiture sans frein tout de même. En matière de SSI, les cyber-attaques sont aujourd’hui un enjeu majeur.
En effet, le rapport n°2 du Ministère de l’Intérieur relatif à l’état de la menace liée au numérique en 2018 l’indique clairement : « la majorité des entreprises sont touchées par les cyber-attaques ; près de 80% en ont constatées au moins une en 2017 » ([01]). J’ose espérer qu’en 2017 la vague de ransomware (et leur déconcertante facilité pour réussir à s’infiltrer dans les entreprises) a alerté l’opinion publique sur les dangers du monde cyber. En sus, il est clair qu’une cyber-attaque peut également avoir des conséquences plus ou moins dramatiques sur l’Homme (faillites de PME, suicides, etc.).
Mon but n’est pas de me complaire dans une ambiance anxiogène mais il me paraît important que la cybersécurité et les bonnes pratiques qui en découlent soient adoptées par tout à chacun. Aujourd’hui, il est impensable que les règles de l’état de l’art ne soient pas adoptées surtout dans le milieu professionnel. En accord avec sa direction, c’est le rôle du RSSI de fixer les règles dans l’organisation.
Force est de constater qu’il nous faut être en posture de défense de façon continue, l’attaquant (qui peut être d’origine interne, ce n’est pas forcément un barbu avec un T-shirt de métalleux habilement formé aux techniques de camouflage et d’intrusion) profitera de nos faiblesses pour « taper » là où il veut et quand il veut. Alors, autant ne pas lui faciliter la tâche et ne pas nous offrir à lui sans nous défendre, non ?
Eh oui, les cyber-attaques ne se produisent pas par magie. La sécurité c’est comme tout, ça s’apprend et ce, dès le plus jeune âge. Ensuite, la sécurité, ça s’entretient. Des piqûres de rappel doivent donc souvent être faites…
Au niveau des directions des PME et grands groupes, je reconnais qu’aujourd’hui, comparé à il y a une vingtaine d’années, on parle moins de coût de la SSI mais plutôt d’investissement SSI.
La sécurité informatique n’a rien de bien compliqué (n’en déplaise à certains). Son objectif n’est pas de vous empêcher de travailler, ni de vous compliquer la vie mais bel et bien de vous protéger et également de protéger le patrimoine informationnel de votre organisation (code source, données clientes, données comptables, etc.).
Dans le cadre personnel, agissez comme vous le souhaitez (ce n’est pas mon problème, du moment qu’il y a une réelle séparation avec le cadre professionnel) mais, dans le milieu professionnel, obéissez aux règles dictées par un professionnel formé et généralement compétent.
Pour le lecteur qui est arrivé au bout de ma diatribe, voici quelques conseils de bon sens:

Le RSSI il faut écouter car ce n’est pas l’ennemi des utilisateurs
Le RSSI il ne faut pas maudire car il a enlevé les droits d’administrateur aux utilisateurs
Le RSSI il faut aimer car il sue sang et eau pour ses utilisateurs

Références

[01] https://www.interieur.gouv.fr/content/download/110309/879759/file/rapport-etat-menace-2018-vf.pdf

Publié le 26 octobre 2018 par Systancia

Thématiques

Cybersécurité CIO CTO Développeurs

La sécurité n’est pas une entrave

Références

Ne manquez pas ces évènements :

Offrez la meilleure expérience à vos utilisateurs à privilèges

Faites progresser votre PAM avec vos usages

Décryptage et enseignements des attaques les plus courantes

Ces articles pourraient vous intéresser :

Cybersécurité : un coût générateur d’économie

La pierre de Rosette de la gestion et la gouvernance des identités

Après le télétravail, vers une démocratisation du flex office ?