Les dix commandements de Cisco

[Guest salimdz]

Sécurité de l’information dans l’entreprise

Les dix commandements de Cisco

16 octobre 2008

 

Le spécialiste des réseaux et de la sécurité informatique, Cisco, relève les principales erreurs qui peuvent compromettre la préservation de l’information. (Par Saïd Elyan)

 

Cisco vient ainsi de mettre au point une étude qui fait part des comportements à risques pouvant menacer la confidentialité de l’information corporative. Cette étude globale recense les risques comportementaux propres à la culture de chaque pays et énumère également l’accès aux centres et réseaux non autorisés ainsi que la divulgation intentionnelle de l’information.

 

Cisco révèle ainsi les nombreux risques pris par les employés pouvant mener à l’une des préoccupations majeures liées à la sécurité des entreprises : la perte d’informations confidentielles corporatives. Cette étude identifie plusieurs erreurs menant à la perte d’informations commises par les employés et se base sur des sondages effectués sur environ 2 000 employés et sur des professionnels de la technologie d’information dans 10 pays.

 

D’après les résultats de cette étude, les dangers susceptibles de menacer le secret de l’information au sein de l’entreprise varient d’une région du monde à une autre, en fonction des cultures. Ce qui permet, ajoute l’étude, à chaque entreprise d’adapter sa stratégie de défense en fonction de son environnement. Cette prévention en local n’empêche pas l’entreprise de prétendre à une dimension globale, souligne Sisco. InsightExpress, une firme spécialisée dans les études de marché, a mené cette étude sur injonction de Cisco afin de mieux examiner ce qu’impliquent pertes d’informations et brèches de sécurité pour les entreprises à un moment où train de vie et environnement de travail des employés sont en pleine mutation. Et ce à un moment où la centralisation du travail vole en éclat. Et l’espace professionnel se mêle davantage à celui de la vie privée, à telle enseigne que les employés peuvent facilement l’amalgame entre les affaires et la vie privée.

 

Ceci est d’autant plus vrai que les nouvelles méthodes de travail participent à rendre plus tenues les frontières séparant l’univers professionnel de l’univers intime. Alors que la multiplication des outils et des applications collaboratifs, à effet professionnel comme à effet personnel, devient extraordinaire. En témoignent les téléphones portables, les ordinateurs portables, les applications web.02, les vidéos et autres médias à caractère social.

 

« Nous n’avons pas mené cette recherche dans le but de prévenir un éventuel cataclysme, » a déclaré John N. Stewart, chef du département sécurité de Cisco. « Le sentiment de sécurité est profondément enraciné dans les comportements humains, c’est pour cela que les entreprises – quelle que soit leur taille – ou les travailleurs – quel que soit leur secteur d’activité – se doivent de comprendre de quelle façon leur comportement peut affecter le niveau de risque, la réalité que représente la perte d’informations et ce que cela veut dire pour l’individu ainsi que pour son entreprise. Comprendre cela peut aider les entreprises à consolider les relations entre leurs différentes composantes, à adapter la prise de conscience ainsi que les programmes d’éducation à l’échelle locale, et ainsi à mieux gérer le risque. De manière plus concise, cela aide à rendre les pratiques sécuritaires plus efficaces. »

 

Voici donc les dix commandements de Sisco en matière de sauvegarde de l’information d’entreprise.

 

1. Changer les configurations de sécurité sur les ordinateurs : 1 employé sur 5 change la configuration de sécurité sur les appareils de travail pour contourner le règlement IT interne afin d’accéder à des sites web non autorisés.

 

2. L’utilisation d’applications non autorisées : 7 professionnels des télécommunications sur 10 affirment que l’accès aux applications et sites web non autorisés (c. f. médias sociaux non sanctionnés, logiciels permettant le téléchargement de musique, sites d’achat en ligne) donnaient lieu à au moins 50% des incidents liés à la perte d’informations.

 

3. L’accès à un réseau / un local non autorisé : dans le courant de l’année passée, 2 professionnels des télécommunications sur 5 ont eu à faire avec des employés ayant eu accès à certains réseaux ou locaux dont l’accès était interdit.

 

4. Le partage d’informations confidentielles : pour preuve que les informations confidentielles ne le restent jamais longtemps, 1 employé sur 4 (soit 24%) a admis avoir transmis des données confidentielles de manière orale à des non-employés, tels que la famille, les amis ou même à des étrangers.

 

5. Le partage d’outils corporatifs : pour preuve que certaines données ne se trouvent pas toujours entre de bonnes mains, près de la moitié (soit 44%) des employés interrogés ont tendance à partager certains outils spécifiques à leur entreprise avec des non-employés.

 

6. Le brouillage des frontières entre outils personnels et outils de travail : près de 2 employés sur 3 ont admis s’être servis de leurs ordinateurs de travail pour un usage personnel (téléchargement de musique, achats en ligne, la consultation de son compte en banque personnel, le chat …).

 

7. Des outils non protégés : au moins 1 employé sur 3 laisse son ordinateur allumé et non verrouillé lorsqu’il quitte son poste.

 

8. Garder en mémoire mots de passe et codes d’accès : 1 employé sur 5 garde dans la mémoire de son ordinateur ses mots de passe et autres codes d’accès.

 

9. La perte d’outils de stockage portables : près d’1 employé sur 4 (soit 22%) transporte des données de l’entreprise dans des outils de stockage portables hors du bureau.

 

10. L’autorisation de « traquer » ou de « vagabonder » sans supervision : plus d’1 employé allemand sur 5 autorise des personnes non-employées par l’entreprise à se déplacer librement dans les bureaux sans aucune supervision.

 

« Les entreprises donnent l’opportunité aux employés d’être plus collaboratifs et plus mobiles », souligne Stewart. « Sans les technologies sécuritaires d’aujourd’hui, sans les politiques, la prise de conscience ou l’éducation, les informations sont vulnérables. De nos jours, les données sont classées sur des outils de stockage portables auxquels on peut avoir accès en dehors des lieux traditionnels liés à l’entreprise, tels que la maison, les routes, les cafés, les avions ou encore les trains. C’est une tendance qui est partie pour durer. Pour protéger vos données de manière efficace, il faut d’abord comprendre les facteurs de risque liés à votre business, adapter votre politique, technologie et éducation à ces facteurs. »

 

source : http://www.mobilealgerie.com/modules.php?name=News&file=article&sid=1187

[tewfik]

 

Le spécialiste des réseaux et de la sécurité informatique, Cisco, relève les principales erreurs qui peuvent compromettre la préservation de l’information. (Par Saïd Elyan)

 

 

Je rajouterais pour ma part deux commandements, avec tout le respect qui se doit à une boite comme cisco

 

11. Arrêter d'utiliser 'cisco' comme mot de passe par défaut : Depuis le temps que ce mot de passe est abusé par des "gamins", ils devraient quand même passer à autre chose ( genre corecess et autres qui lient le mot de passe par defaut de leurs routeurs avec le numero de série )

Je pense aussi qu'ils devraient patcher leur IOS pour qu'il integre une sorte de cracklib[1] qui empecherait l'utilisation de mots de passes trop simples. ( c'est aussi valables pour les autres constructeurs, ceci dit )

 

12. Arrêter de jouer aux sorciers en réinventant la pile tcp/ip : Cisco se permet le luxe ( et ils ont raison, les autres ont suivi la mode ) de changer les choses les plus fondamentales. Exemple, leur série catalyst[2], qui sont des switchs à la base, ont une adresse ip alors que se sont des périphériques de couche 2 [3]. Je ne sais pas si je dois voir ça comme une évolution ou une hérésie.

 

Je passe sur les quelques fautes évidentes que le journaliste a commis, j'imagine qu'il n'a pas eu le temps de relire son papier.

 

Sur ce,

Portez-vous bien.

 

 

[1]

 

CrackLib : password checking library

http://sourceforge.net/projects/cracklib

 

 

[2]

 

Commutateurs et solutions de commutation (LAN)

http://www.cisco.com/web/FR/products/lan_switching/lan_switching_home.html

 

 

[3]

 

Layer 2/3 Switches

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-2/switch_evolution.html

[reseau]

Je ne vois pas le rapport entre l'@ip et commutataeur de niveau 2.

L'adresse Ip ne sert qu'a manager l'équipement. Si tu ne lui donne pas d'adresse ip je ne vois pas trop comment tu vas faire ?????

si tu as des switches dans différents endroits tu vas te déplacer à chaque fois pour te connecter en port console ????

[SecDz]

Je ne vois pas le rapport entre l'@ip et commutataeur de niveau 2.

 

Justement, il ne devrais pas y avoir de rapport

 

L'adresse Ip ne sert qu'a manager l'équipement.

 

l'équipement en question est de "couche 2"... selon l'OSI, on n'est pas encore "conscients" de la notion d'@ IP

Si tu ne lui donne pas d'adresse ip je ne vois pas trop comment tu vas faire ?????

 

câble console ?

 

si tu as des switches dans différents endroits tu vas te déplacer à chaque fois pour te connecter en port console ????

 

"commutateurs serie"...une sorte de KVM.

 

En fait tewfik est un puriste ... on est dans la couche 2 ? => pas de truc couche 3.

Mais bon, maintenant, quand je fais quelques fois des formations, je dit toujours aux stagiaires : "comprenez et traitez tout selon l'entendement de chaque éditeur / constructeur" ....parce que quelques fois on est vraiment désabusés !

Edited October 17, 2008 by SecDz