Cybersécurité. Les bonnes questions
Une entreprise ne doit pas attendre un problème pour penser à sa cybersécurité. Des pratiques existent pour se protéger.
Où j’en suis ?
Pas besoin de travailler pour l’aéronautique ou la défense pour être la cible d’attaques digitales, toute société peut l’être. « Et justement la première question est de savoir comment et sur quoi je peux être atteint », avance l’expert Ludovic de Carcouët, à la tête de Digitemis à La Merlatière (Vendée). En premier lieu, analyser les informations sensibles à protéger.
Cela peut être, par exemple, des bases d’adresses de clients, des données sur les salaires ou les clients, mais aussi sur des donneurs d’ordre. Regarder, aussi, si vous avez des données professionnelles dans un appareil personnel. Cela concerne, par exemple, tous les smartphones qui servent sur les lieux de travail.
Que dois-je faire ?
Là encore, bien identifier les risques. C’est aussi à l’entrepreneur de s’assurer contre certaines pratiques. Comme ne pas laisser une porte de serveur ouvert sur l’ordinateur d’une assistante. Ou laisser l’accès libre sur les ordinateurs mobiles de ses commerciaux par exemple. Des guides de bonnes pratiques existent auprès de la Confédération générale du patronat des petites et moyennes entreprises (CGPME) ou de l’Agence nationale de la sécurité des systèmes d’information (ANSII).
Avec qui travailler ?
Quand l’entreprise souhaite alors se protéger concrètement, elle peut le faire avec plusieurs partenaires : le prestataire de son univers cloud, son fournisseur de système informatique, une société extérieure… En qui vous avez confiance !
Élisabeth BUREAU
Source :
- Article « Les bonnes questions » paru dans l’édition numérique de Ouest France en date du 5 novembre 2015
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?