Vous aimez ce que vous lisez sur ce blog ?
Envie d'aller plus loin avec véritable formation d'expertise en Java ?
Venez suivre ma formation Masterclasse Expertise Java !

"Même un développeur experimenté a besoin de continuer à apprendre. Et dans cette formation... j'ai appris beaucoup !" - A.G., Java Champion

Prochaines sessions inter-entreprises : 28-31 mars 2017 / 13-16 juin 2017
Sessions intra-entreprises sur demande.
Inscrivez-vous vite !

Sécurité informatique : Google mise sur la formation et la transparence

Toute entreprise disposant d'un système d'information informatisé craint par-dessus tout que celui-ci ne soit attaqué et corrompu. Si les motifs (intelligence économique, malveillance ou simple bêtise) et les acteurs (pirate externe ou employé interne) des attaques informatiques peuvent varier, les conséquences en sont en revanche souvent dramatiques.

Dans l'espoir de réduire les risques, le département informatique est en état d'alerte permanent :

  • Les administrateurs systèmes, pressés par la direction, mettent en place les mesures de protection les plus drastiques : filtrage de l'accès à Internet, verrouillage (ports USB...) et surveillance (illégale?) des postes des employés, paramétrage agressif des antivirus[1]...
  • Les équipes de développement sont sévèrement encadrées et se voient interdire l'usage de toute librairie de code "douteuse" car non développée en interne (syndrôme NIH).

Cette approche, qui semble satisfaire la plupart des entreprises, présente pourtant le double inconvénient de paralyser les infrastructures informatiques censées les rendre plus "agiles" et d'irriter leurs collaborateurs. Mais son plus gros défaut est ailleurs : en effet, son caractère purement technique et automatique a tendance à déresponsabiliser les employés et à les désintéresser du sujet. Ils deviennent ainsi une proie facile pour le "social engineering"[2].

Afin d'éviter ce genre de scénarios, Google a adopté une approche plus souple :

  • Tout d'abord, former systématiquement tous ses employés sur le sujet, afin de les responsabiliser et de les immuniser aux attaques de type "social engineering".
  • Ensuite, mettre en place un socle d'architecture sécurisé, sur lequel se connectent des postes de travail facilement remplaçables et n'ayant donc pas besoin d'être eux-mêmes verrouillés ou encombrés de logiciels gênants. Les employés y gagnent nettement en confort, et en particulier les développeurs qui représentent la majeure partie de leur personnel.
  • Enfin, application d'une politique de transparence et de collaboration étroite avec les experts en sécurité, permettant d'être averti et de corriger au plus vite les éventuelles failles. En cela, Google rejoint les projets opensource et les distributions Linux.

Il faut croire que là encore, Google a fait le bon choix : aucune alerte de sécurité n'a encore été signalée, et c'est pourtant l'une des sociétés les plus alléchantes pour tous les pirates de la terre...

Notes

[1] Actuellement, un certain antivirus (que je ne nommerai pas) paralyse totalement ma machine de travail pendant plusieurs minutes, et ce plusieurs fois par jour... Sans compter bien sûr ses interventions ponctuelles, à chaque fois qu'un document est ouvert. Et je vous laisse imaginer dans quel état d'affolement le met un répertoire plein d'archives Java (.jar)...

[2] Attaque basée sur les simples relations humaines, consistant à gagner la confiance d'un utilisateur interne pour lui faire révéler des informations confidentielles ou exécuter des actions de nature à compromettre la sécurité de l'entreprise.


Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.