la sécurité ce N'EST PAS saupoudrer votre infra de produits dits « de sécurité » ;
chaque nouveau produit, y compris ceux dits « de sécurité » augmente la surface d'attaque ;
la sécurité numérique est une affaire d'EXPERTS ;
la certification ou norme trucmuche ne vous protège de rien et ne dit absolument rien de vos pratiques en matière de sécurité numérique, même si le commercial vous soutient le contraire ;
la liste des personnes NON QUALIFIÉES pour parler de sécurité numérique inclue notamment : les dirigeants, les responsables conformité, les avocats, les commerciaux, les organismes de certification ainsi que leurs auditeurs, etc.
Si vous croyez que j'exagère, nous venons d'avoir encore un exemple de produit de sécurité qui a une vulnérabilité critique permettant à un attaquant d'exécuter du code à distance. Ce n'est malheureusement ni le premier ni le dernier exemple du genre. https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-006/
Si vous me répondez qu'on ne va quand même pas se passer de produits de sécurité au prétexte qu'il y a parfois des failles, sachez que régulièrement le problème est situé dans le bon fonctionnement du produit en question. L'exemple le plus connu à ce sujet est l'antivirus sur un serveur de base de donnée stockant les données d'une application dans laquelle un utilisateur extérieur peut publier du texte. Certaines signatures de virus sont entièrement en caractères imprimables, donc si un utilisateur en entre une dans votre app, votre antivirus va la détecter dans les fichiers de votre base de données et prendre des mesures drastiques contre cette dernière, brisant immédiatement le fonctionnement de votre app.
Encore une fois, la sécurité est une affaire d'experts qui analysent finement les risques et en déduisent les mesures adaptées. Ce n'est certainement pas une agglomération de produits qu'on installe juste pour respecter un référentiel quelconque.
Add comment