La NSA (National Security Agency) a bien compris que la sécurité de l'information devait aller au delà du périmètre de l'entreprise. En effet, alors les entreprises et gouvernements mettent en place des systèmes de défense de plus perfectionnés, les attaquants attaquent aux endroits ou cela fait mal : Le contexte personnel, c'est-à-dire à la maison.
le maillon faible : Les réseaux et systèmes personnels
Les adversaires ont bien compris que leurs cibles sont plus vulnérables lorsqu'elles sont dans un contexte personnel que professionnel.
La raison est assez simple : Beaucoup moins, voire absence totale, de rigueur dans les moyens de protection ou de maintenance du niveau de sécurité des réseaux et systèmes.
L'environnement personnel est donc une cible de choix pour les attaquants cr les mécanismes de défense sont très (trop) souvents en deçà du minimum suffisant.
protéger ses proches et sa société
Sécuriser son réseau et les systèmes présents à son domicile permet de protéger tant ses données personnelles, les membres de sa famille que les données de sa société : Cette dualité "protégez vous et protéger nous" est très judicieuse.
Protéger ses proches et sa famille des menaces est quelque chose qui est ancré dans nos gènes alors que protéger les biens d'un tiers (ici l'entreprise employant une personne) c'est moins instinctif, surtout quand on est la maison.
un guide de recommandations
Via le message "protégez votre famille" la NSA fait d'une pierre deux coups : Elle aide les personnes à protéger leur famille tout en protégeant les entreprises de ces mêmes personnes. Très bien vu !
Le guide de la NSA intitulé "Best Practices for Keeping Your Home Network Secure" (PDF - 8 pages - en anglais) est plutôt clair et donne des conseils pleins de bon sens. Sont couverts tant les systèmes d'exploitation (Windows & Mac), les applications (Adobe, Microsoft Office, ...) que les tablettes (iPad) mais aussi les équipements d'infrastructure (modem ADSL, bornes wifi, ...) et la partie usage (réseaux sociaux, outils de messagerie, gestion des mots de passe, ...).
Si j'avais une critique à apporter, c'est qu'il reste un peu trop générique et ne guide pas assez le lecteur vers des logiciels permettant de mettre en œuvre certaines des mesures. Ceci étant, il est bien fait et pleins de bons tuyaux !
une déclinaison en entreprise
Les structures comme les petites PME ou entreprises de quelques salariés pourront aussi retirer bénéfice de mettre en œuvre les recommandations présentées sur leur réseau local car la frontière devient floue entre les équipements et systèmes qui se trouvent au domicile d'une famille "connectée" et ceux présents dans une petite PME.
Les plus grandes, pourront elles aussi en prendre de la graine en reprenant pour elle cette démarche et en encourageant leurs employés à sécuriser leur réseau et machines personnelles. Certaines entreprises mettant à disposition de leurs employés des licences de logiciels antivirus à des prix préférentiels ou parfois même à titre gracieux.
Combien d’entreprises font cette démarche volontaire ? Mystère et boule de gomme. Oui, cela a un coût pour l’entreprise (rédaction/diffusion des guides de recommandations, licences supplémentaires) mais les bénéfices sont multiples.
pour aller plus loin et compléter
Je vous rassure, la France n'est pas complètement à la bourre ("Cocorico!"). L'ANSSI (la NSA "à la française" - voir "Correction") met à disposition un très grand nombre d'informations sur le site http://www.securite-informatique.gouv.fr/
- Le guide "Partir en mission avec son téléphone mobile, son assistant personnel ou son ordinateur portable" propose de façon claire et simple des conseils pour sécuriser ses données lors de voyages à l'étranger.
- Pour les personnes souhaitant avoir plus de détails sur la mise en œuvre de certaines des recommandations présentes dans le guide de la NSA, cette page du même site propose des guides de mise en œuvre.
Correction (JFA, 25/07/2011 - 11h14) : Il conviendra de préciser que l'ANSSI , à la différence de la NSA, n'est ni un service de renseignements ni un service chargé d'interceptions ("écoutes"). En effet l'ANSSI a pour principale mission de protéger les systèmes d'informations. Ma comparaison entre la NSA et l'ANSSI est donc inexacte. Merci à la personne m'ayant pointé du doigt ce raccourci un peu trop direct.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens