Actualités
Sécurité
28/11/2014

Sécurité : 8 risques de se faire licencier quand on est ingénieur IT/Sécurité !

S’il est rare de se voir remercier quand on est expert IT, il existe tout de même des situations qui ont des conséquences néfastes pour une population en particulier : les spécialistes sécurité !

Voici un tour d’horizon des principales raisons, justifiées ou non, qui peuvent conduire des entreprises à se séparer de leurs ingénieurs :

 

1.       Ecraser des fonctionnalités critiques

A la limite, laisser un hacker pirater des données est moins risqué que de toucher à une application cœur métier  et d’interrompre le business. Ça peut paraitre étonnant, mais malgré les conséquences qu’un piratage peut avoir, la priorité n°1 n’est que rarement la sécurité. Généralement, il faut attendre une bonne grosse attaque, où tous les passwords ont été récupérés, que le réseau est tombé et que les informations confidentielles ont été volées, pour que la direction en vienne à reconsidérer la gestion des priorités. Trop souvent la direction assume des brèches en espérant passer à travers. Mais, si un ingénieur interrompt une application business au-delà d’une journée à cause d’un nouveau process de sécurité, il y a des chances qu’il doive refaire son CV en urgence.

Pour éviter ça : Il faut apprendre le plus rapidement possible quelles sont les applications critiques et ne pas les interrompre, sauf si les risques de piratage encourus sont élevés. La manoeuvre doit être réalisée en concertation avec les différentes directions de l'entreprise.

 

2.       Couper les accès du Président de l’entreprise à ses applications

Jamais un responsable d’entreprise n’acceptera de ne pas pouvoir travailler quand il le souhaite (à savoir, tout le temps). Limiter ou interdire l’accès à la messagerie, aux applications, aux réseaux, …, d’un dirigeant représente une menace forte pour son propre emploi.

Pour éviter ça : Il faut rendre l’utilisation des moyens techniques par les dirigeants la plus transparente possible, en gardant à l’esprit qu’à ce niveau de responsabilité aucune interruption de service n’est « acceptée ». Le maintien du niveau de sécurité doit être constant et lui-même transparent pour ses utilisateurs.

 

3.       Ne pas faire de veille sur la sécurité

Les pirates sont créatifs. Ne pas se maintenir au courant des évolutions des menaces et moyens d’intrusion, de vols d’informations ou de corruption d’infrastructure peut être catastrophique. Certains programmes malveillants comme les « Trojan » passent inaperçus et coûtent des millions d’euros aux entreprises à travers le monde chaque année. En tant que « spécialiste » en sécurité IT, ne pas connaitre les méthodes et moyens utilisés par les pirates, est synonyme de départ précipité.

Pour éviter ça : Savoir reconnaitre les « signes » qui permettent d’identifier les activités malveillantes est fondamentale. Cela passe par une veille permanente et une analyse fine des évènements. Il n’est pas possible d’identifier tous les faux positifs, cependant il faut connaître les attaques les plus dangereuses, leur mode de diffusion et les contre-attaque à leur opposer.

 

4.       Lire des informations confidentielles

Les personnels qui travaillent sur les réseaux ont accès aux données et informations de l’entreprise et ce pouvoir est parfois détourné, pour satisfaire des menées personnelles, nuire à la société ou en tirer un profit. Il ne faut pas être un spécialiste informatique pour savoir que lire des données de l’entreprise (emails, fichiers clients, brevets, données comptables, …) quand on y est pas autorisé, est non seulement grave, mais aussi synonyme de licenciement. Dans le pire des cas, des poursuites judiciaires peuvent venir s’ajouter à la rupture contractuelle.

Pour éviter ça : Ne pas accéder à des données et des informations si on en a pas reçu l’autorisation écrite. C’est parfois difficile, mais cela vaut mieux que de se voir reprocher d’avoir voulu nuire à l’entreprise. En tant que spécialistes de la sécurité IT,  il vaut mieux proposer des solutions de cryptage aux « clients » internes, ainsi on évite toute « tentation » et on renforce la sécurité vis-à-vis des attaques extérieures en même temps.

 

5.       Utiliser de véritables données pour faire des tests

Même si pendant des années l’habitude qui a prévalu était d’utiliser des données issues de la production pour tester la mise en place d’un nouveau système, désormais il convient de respecter certaines règles. Parmi elles, le respect de la vie privée est essentiel. En effet, les plate-formes de tests sont généralement moins protégées que les serveurs de production. On peut avoir des mots de passe plus courts et partagés avec différents acteurs de l’entreprise. La gestion des accès est parfois libre sur les plate-formes de tests, ce qui facilité le « travail » des hackers.

Pour éviter ça : Il convient de générer de fausses données et de fausses informations à destination des plate-formes de tests. Ensuite, il est également possible de durcir les moyens de protection de ces plate-formes pour les rendre aussi « robustes » que les serveurs et réseaux en production.

 

6.       Utiliser les passwords et comptes corporate pour aller sur le web

Les hackers sont devenus très efficaces pour récupérer les passwords des entreprises et ainsi accéder à leurs données. En volant les passwords des entreprises les hackers peuvent faire tomber les sites webs, accéder aux comptes des réseaux sociaux et modifier les contenus.

Pour éviter ça : il faut former les collaborateurs pour qu’ils changent régulièrement leurs mots de passe et qu’ils ne les partagent pas avec des collègues ou des relations extérieures.

 

7.       Ouvrir tous les ports

Ca parait étonnant, mais il y a encore des entreprises qui possèdent des firewalls qui ne filtrent rien sur leurs réseaux. Il arrive qu’à la suite de blocages d’accès dû aux firewalls des failles soient délibérément ouvertes avec une règle any any qui autorise tout le trafic, sans filtrage. Cette règle est catastrophique et si un ingénieur sécurité l’a mise en place, il risque de se faire licencier au premier audit réseaux.

Pour éviter ça : Il ne faut jamais autoriser la mise en œuvre de règle de ce type.

 

8.       Ne pas changer les mots de passe

Là encore, ça semble une évidence, pourtant nombreuses sont les entreprises à ne jamais ou presque changer leurs passwords. La norme voudrait que les mots de passe soient changés tous les 45/90 jours. Le coût de changement des mots de passe n’est pas élevé et il existe des logiciels qui en génèrent automatiquement.

Pour éviter ça : il faut changer régulièrement les mots de passe et surtout ceux qui concernent les comptes administrateurs. Si un collaborateur quitte l’entreprise (licenciement/démission) il convient de modifier les mots de passe immédiatement.

 

Comme toujours en informatique les problèmes rencontrés font appels au bon sens. Le respect de règles et de standards peut permettre de limiter les risques d’intrusion, d’extrusion, de destructions de données, de chantages à la divulgation d’informations confidentielles, ...

Les ingénieurs sécurité / réseaux sont en première ligne et doivent se former en permanence pour analyser et contrer efficacement les actions des hackers.

Cette fonction est riche technologiquement, mais possède un caractère ingrat de par l’image « d’empêcheur de tourné en rond » qui leur colle à la peau. Ces spécialistes doivent faire face à des menaces externes et internes, tout en éduquant les salariés sur les risques encourus et les bonnes pratiques à mettre en œuvre. La compréhension de leur métier peut permettre d’éviter certaines catastrophes. Ils peuvent se faire licencier à cause d’un manque de volonté de la part de certains dirigeants de considérer la sécurité comme un impératif et pas comme une vague option qui peut attendre.

Le coût de la cybercriminalité dépasse les 23 milliards de dollars pour les incidents déclarés (enquête Global State on Information Security).  

Les spécialistes de la sécurité informatique ont de beaux jours devant eux.

>D'après une idée de Roger Grimes