5 conseils en sécurité informatique du CISO de Harvard - Actualités RT Sécurité

5 conseils en sécurité informatique du CISO de Harvard

le 08/08/2015, par Bob Brown / Network World (adapté par Jean Elyan), Sécurité, 820 mots

Lors de la conférence Campus Technology qui s'est tenue fin juillet à Boston, Christian Hamer, responsable de la sécurité des systèmes d'information (RSSI ou CISO) de l'université de Harvard, a fait le point sur les meilleures pratiques à adopter en matière de sécurité informatique, de BYOD et d'IoT.

5 conseils en sécurité informatique du CISO de Harvard

En tant que CISO, Christian Hamer est responsable de la politique de sécurité du campus de Harvard et de la sensibilisation à ces questions. Son équipe gère toutes les opérations de sécurité et toutes les interventions en cas d'incidents. Voici, parmi ses déclarations lors de Campus Technology, une sélection de ses observations les plus notables :

1 - Bien protéger son réseau : les étapes les plus importantes

« Trop souvent, nous pensons la sécurité informatique ou la sécurité de l'information en terme de bits et d'octets, ou nous nous demandons quel widget installer sur le réseau ou l'ordinateur d'un utilisateur pour le protéger. Or, de façon générale, nous avons à faire à des populations désireuses de connaitre les bonnes pratiques. Aujourd'hui, les gens sont beaucoup plus conscients des menaces, notamment parce qu'on en parle de plus en plus dans les médias. Mais ils ne savent pas ce qu'il faut faire, ou comment le faire. C'est probablement la première chose à laquelle il faut s'intéresser. Votre communauté d'utilisateurs sait-elle ce qu'il faut faire et comment le faire ? Sait-elle à qui demander de l'aide si elle a du mal à comprendre et à appliquer les bonnes pratiques ? »

2 - La sécurité mobile : la question du MDM

« La gestion des appareils mobiles est un secteur très actif aujourd'hui. Le sujet suscite un débat intéressant : à savoir, est-ce que ces solutions sont appropriées ou non à notre environnement éducatif. En ce qui me concerne, je ne me vois pas demander à un professeur d'université d'installer tel ou tel logiciel sur son propre téléphone. C'est vraiment une question très personnelle. Cela dit, cela ne signifie pas que l'on peut ignorer le sujet. Je crois que l'élément sensible concerne l'utilisation des données de l'appareil. C'est à cela qu'il faut penser quand quelqu'un apporte son propre terminal dans son environnement de travail. J'ai entendu beaucoup de gens parler de ces formidables logiciels MDM, mais quand je leur demande combien de membres du corps professoral l'utilisent, un grand silence s'ensuit ».

3 - Sensibiliser les utilisateurs à la sécurité

« Nous allons très bientôt lancer sur le campus de Harvard une campagne prônant quatre meilleures pratiques. La première : demander à nos utilisateurs d'appliquer toutes les mises à jour, celles disponibles pour leur mobile, pour le système d'exploitation de leur ordinateur ou pour leurs logiciels personnels. C'est sans doute l'une des meilleures façons de se protéger. Ensuite : les inciter à utiliser des mots de passe forts, c'est à dire uniques et difficiles à deviner. Pour les aider, nous leur offrirons aussi des outils comme des gestionnaires de mot de passe (Harvard a testé et recommande le gestionnaire de mots de passe en ligne LastPass) ou des systèmes à double authentification. En troisième lieu : faire en sorte que les gens évitent de cliquer de façon automatique sur les messages et les pièces jointes pour lutter contre le phishing et qu'ils soient capables de repérer quelque chose d'inhabituel. Enfin, le dernier objectif de cette campagne est d'inciter les utilisateurs à connaître leurs propres données. Il est vraiment important de savoir ce qu'il y a sur sa machine ou dans un dossier partagé. Savoir pourquoi ce document est ici. Se demander s'il est toujours utile. Sinon, savoir s'en débarrasser en toute sécurité ».

4 - Convaincre les utilisateurs d'adhérer aux meilleures pratiques

« Nous devons faire comprendre à nos utilisateurs, étudiants ou enseignants, que ces bonnes pratiques sont valables aussi bien dans un environnement personnel que dans un environnement professionnel. Et les respecter partout offre beaucoup d'intérêt ».

5 - La grande question de l'Internet des objets

« Pour avoir une idée de l'ampleur de ce sujet en terme de sécurité, et comprendre à quel point le problème est immense, il suffit de lire l'article sur la Jeep de Chrysler piratée à distance ! Nous devons savoir où sont utilisés ces dispositifs et les isoler autant que possible, parce que, selon mon expérience, ces systèmes n'ont pas été conçus en prenant en compte les questions de sécurité. Les gens sont surpris quand nous leur demandons de déconnecter leur dispositif du réseau parce qu'il est infecté par un logiciel malveillant. Le vrai danger, c'est quand ces systèmes arrivent à être en contact avec des données critiques. On nous a proposé maintes fois d'installer des capteurs sur notre réseau pour gérer nos matériaux recyclables et autres. Mais, avant de donner son accord, il faut exiger de séparer ces données de toutes les autres. À long terme, les dispositifs intelligents pourraient rendre nos vies meilleures et c'est formidable. Mais nous devons savoir qu'aujourd'hui, la question de la sécurité de ces objets et des risques qu'ils peuvent faire peser sur les environnements est encore très secondaire dans leur conception pour le moment ».

L'avenir du controversé site Pwnhead en question

La question de l'avenir du site Pwnhead, qui répertorie et classe les chercheurs et les conférences sur la sécurité, se pose déjà, deux semaines à peine après son lancement, après les réactions négatives des...

le 16/01/2019, par George Nott, CIO Australie (adaptation Jean Elyan), 910 mots

Cisco met a jour un correctif critique pour son gestionnaire PLM

En fin de semaine dernière, Cisco a livré la mise à jour d'un patch destiné à corriger une vulnérabilité SQL critique dans Cisco Prime License Manager (PLM). Selon Cisco, la faille pouvait permettre à des...

le 24/12/2018, par Michael Cooney, IDG NS (adapté par Jean Elyan), 284 mots

Test CyCognito, solution de monitoring de la cybersécurité en continu

La plate-forme CyCognito analyse les réseaux comme le font les pirates informatiques, c'est à dire depuis l'extérieur, sans aucune aide et sans profiter d'une règle favorable aménagée dans le processus...

le 19/12/2018, par John Breeden II, IDG NS (adaptation Jean Elyan), 1261 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »