Le responsable de la sécurité des systèmes d’information (RSSI) d’une entreprise est garant de la sécurité, la disponibilité et l’intégrité du système d’information et des données. Le RSSI est chargé notamment des choix et des actions concernant la sensibilisation des utilisateurs aux problèmes de sécurité, la sécurité des réseaux, des systèmes, des télécommunications.
Il s’agit d’une fonction très recherchée nécessitant d’excellentes compétences techniques et managériales, ainsi que des qualités personnelles. Cette fonction va progressivement évoluer avec l’intelligence artificielle.
1ère erreur du RSSI : Mettre en péril les fonctions critiques de l’entreprise
Question de logique. Si, par mégarde, le responsable de la sécurité des systèmes d’information (RSSI) stoppe une fonction d’affaire critique pendant plus d’un ou deux jours pour installer un nouveau système de sécurité ou mettre en place un nouveau dispositif, c’est son avenir dans l’entreprise qu’il risque de mettre en difficulté.
Il est nécessaire de prioriser les différents éléments et ne pas interrompre les process, sauf si l’absence de réaction peut entraîner des dommages plus importants ou décision d’un supérieur hiérarchique.
2ème erreur : Éviter de compliquer la vie du CEO
Il peut arriver que certains CEO s’en prennent aux professionnels de la sécurité, dans le cadre d’une simple modification d’un mot de passe. Or, cela peut s’avérer indispensable, notamment pour des applications à haut risque.
Il est conseillé de faciliter autant que possible les accès du CEO au SI, tout en maintenant les niveaux de sécurité requis.
3ème erreur : Ignorer un événement de sécurité critique
Le management privilégie les fonctions critiques de l’entreprise et fait passer la sécurité au second plan. Cela est le cas tant que la sécurité n’a pas d’impact sur les fonctions critiques : le balancier oscille rapidement et les places de ceux qui « business as usual » peuvent ne plus être assurées.
Il est primordial d’Identifier les événements de sécurité critiques les plus nocifs, a minima, afin d’anticiper les potentiels risques.
4ème erreur : Prendre connaissance de données confidentielles
L’administrateur réseau a accès à tout ce qui se passe sur le réseau de l’entreprise. De nombreux administrateurs peuvent parfois accéder à des données qu’ils ne sont pas autorisés à consulter. C’est pourquoi certaines entreprises externalisent la messagerie de la direction générale.
Le RSSI doit aider les propriétaires de ces données à chiffrer leurs données confidentielles avec des clefs auxquelles il n’a pas accès.
5ème erreur : Porter atteinte à la vie privée d’un salarié
Il s’agit d’une erreur lourde menant à la perte de son job, quel que soit la nature et l’importance de l’intrusion. La confidentialité est un des enjeux majeurs de la sécurité informatique. Aujourd’hui, les systèmes enregistrent l’ensemble des accès de chacun des employés.
6ème erreur : Utiliser des données réelles dans le cadre de tests
Lors de l’essai ou de la mise en œuvre de nouveaux systèmes, le responsable de la sécurité doit créer des données tests. Parmi les moyens les plus simples, il peut s’agir de copier ou de mettre en réserve un sous-ensemble de données réelles. Utiliser des données réelles dans les systèmes de test peut engendrer des difficultés, surtout si l’administrateur a oublié de leur appliquer les mêmes règles de confidentialité.
Erreur n° 7 : Utiliser les mêmes mots de passe dans l’entreprise et sur Internet
Les pirates peuvent accéder à des informations confidentielles, par le biais par exemple de campagnes de phishing : la victime clique sur un faux lien inclus dans le mail censé le rediriger vers un réseau social.
L’objectif du RSSI est de s’assurer que tous les salariés comprennent le risque d’utiliser les mêmes mots de passe sur des sites web et dans l’espace sécurisé de l’entreprise, dans le cadre de la sécurité informatique.
8ème erreur : Laisser des brèches « ANY ANY »
Lorsqu’une application ne fonctionne pas suite à de nombreux essais, la règle du « ANY ANY » entre en jeu. Cela consiste à indiquer au pare-feu d’autoriser l’ensemble du trafic et de ne rien bloquer. L’individu ayant recours à cette règle ne le fait que de façon temporaire, le temps de comprendre si le pare-feu peut être ou non à l’origine du problème. Il est recommandé de ne jamais appliquer cette règle, qui est sujette à des aléas.
9ème erreur : Ne pas changer les mots de passe administrateur
L’une des erreurs les plus courantes qui peuvent mettre en difficulté le RSSI, c’est le fait de conserver ses mots de passe administrateur pendant une durée très conséquente. Une grande majorité des entreprises sont « protégées » par de multiples mots de passe vieux de plusieurs années, dont les mots de passe administrateur.
Dans la pratique, il est recommandé de changer les mots de passe tous les 45 à 90 jours, sachant que les mots de passe d’administration et les mots de passe critiques doivent être plus forts et changés plus souvent que les mots de passe utilisateur. Ces changements de mots de passe doivent également être réalisés immédiatement après le départ du RSSI.
10ème erreur : ne pas prioriser les vulnérabilités
Une expérience solide est nécessaire et des compétences afin de gérer chaque vulnérabilité. Il est essentiel de hiérarchiser les vulnérabilités et ne pas compromettre sa crédibilité en lançant de fausses alertes qui font perdre du temps à ses collègues.