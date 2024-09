Comment expliquer que des entreprises et des organisations qui gèrent des données aussi sensibles puissent encore être vulnérables ? C'est la question que tout le monde se pose. Jean Gebarowski nous rappelle que tout comme le risque : « La sécurité à 100 % n'existe pas ». Pour un attaquant, une seule faille suffit, alors que pour se défendre, il faut être irréprochable sur tous les fronts.

Au-delà de ce constat, l'expert pointe du doigt plusieurs problèmes récurrents. Trop d'entreprises négligent encore la sécurité, faute de savoir identifier et mesurer les véritables enjeux. D'autres pensent qu'il suffit d'avoir de bons outils pour être protégé. Or, insiste-t-il, « la sécurité informatique est une question de processus et non d'outillage ».

Il prend l'exemple d'un pare-feu mal configuré : même le meilleur des équipements ne sert à rien s'il est paramétré pour tout laisser passer. Par exemple, ce fameux réglage « any any » qui ouvre grand la porte aux intrus : d'après le site rackspace technology, « permit ip any any » autorise tout le trafic de n'importe quelle source sur n'importe quel port vers n'importe quelle destination. Il s'agit du pire type de règle de contrôle d'accès. Elle contredit à la fois les concepts de sécurité de refus de trafic par défaut et le principe du moindre privilège. Le port de destination doit toujours être spécifié et l'adresse IP de destination doit être spécifiée lorsque cela est possible.