La sécurité, cette branche de notre domaine dont le devoir est de protéger le système d'information, revient très souvent comme un point de douleur dans toutes les étapes du cycle de vie d'un projet. Pourtant, malgré une nécessité réelle, un bon nombre des mesures prises sont incomplètes, voire inutiles.
Des politiques de mot de passe aberrantes au proxy ne limitant en pratique que peu de choses, ce slot tentera de démystifier les principes clés de la sécurité et d'expliquer pourquoi un certain nombre des mesures courantes dans les entreprises n'ont en réalité qu'un effet placebo.
Par Jonathan Raffre, Technical Architect chez Xebia
Toutes les informations sur xebicon.fr
10. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity UX done wrong
● Persona - Directeur commercial d'un grand éditeur logiciel
● Objectifs de sécurité
○ Authentification : identifier un utilisateur
○ Non-répudiation : s'assurer que l'identité d'un utilisateur ne peut être falsifiée
● Solutions
○ Politique de mot de passe (préconisations NIST)
■ 8 caractères, 1 chiffre, 1 symbole, moins de 12 caractères, …
■ Expire tous les 30 jours
■ "J'ai mon mot de passe sur un post-it sous mon clavier !"
10
12. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity done wrong
● Persona - Responsable des services généraux
● Objectifs de sécurité
○ Traçabilité : journalisation des accès Internet
○ Inspection des communications
● Solutions
○ Proxy avec liste blanche
■ Sites de transfert de données interdits
■ Sites fournisseurs bloqués car inconnus
○ Filtrage de messagerie
■ E-mails avec des fichiers compressés refusés
■ E-mails avec des documents Word refusés
■ ...
12