5 conseils en sécurité informatique du CISO de Harvard
Lors de la conférence Campus Technology qui s'est tenue fin juillet à Boston, Christian Hamer, responsable de la sécurité des systèmes d'information (RSSI ou CISO) de l'université de Harvard, a fait le point sur les meilleures pratiques à adopter en matière de sécurité informatique, de BYOD et d'IoT.
En tant que CISO, Christian Hamer est responsable de la politique de sécurité du campus de Harvard et de la sensibilisation à ces questions. Son équipe gère toutes les opérations de sécurité et toutes les interventions en cas d'incidents. Voici, parmi ses déclarations lors de Campus Technology, une sélection de ses observations les plus notables :
1 - Bien protéger son réseau : les étapes les plus importantes
« Trop souvent, nous pensons la sécurité informatique ou la sécurité de l'information en terme de bits et d'octets, ou nous nous demandons quel widget installer sur le réseau ou l'ordinateur d'un utilisateur pour le protéger. Or, de façon générale, nous avons à faire à des populations désireuses de connaitre les bonnes pratiques. Aujourd'hui, les gens sont beaucoup plus conscients des menaces, notamment parce qu'on en parle de plus en plus dans les médias. Mais ils ne savent pas ce qu'il faut faire, ou comment le faire. C'est probablement la première chose à laquelle il faut s'intéresser. Votre communauté d'utilisateurs sait-elle ce qu'il faut faire et comment le faire ? Sait-elle à qui demander de l'aide si elle a du mal à comprendre et à appliquer les bonnes pratiques ? »
2 - La sécurité mobile : la question du MDM
« La gestion des appareils mobiles est un secteur très actif aujourd'hui. Le sujet suscite un débat intéressant : à savoir, est-ce que ces solutions sont appropriées ou non à notre environnement éducatif. En ce qui me concerne, je ne me vois pas demander à un professeur d'université d'installer tel ou tel logiciel sur son propre téléphone. C'est vraiment une question très personnelle. Cela dit, cela ne signifie pas que l'on peut ignorer le sujet. Je crois que l'élément sensible concerne l'utilisation des données de l'appareil. C'est à cela qu'il faut penser quand quelqu'un apporte son propre terminal dans son environnement de travail. J'ai entendu beaucoup de gens parler de ces formidables logiciels MDM, mais quand je leur demande combien de membres du corps professoral l'utilisent, un grand silence s'ensuit ».
3 - Sensibiliser les utilisateurs à la sécurité
« Nous allons très bientôt lancer sur le campus de Harvard une campagne prônant quatre meilleures pratiques. La première : demander à nos utilisateurs d'appliquer toutes les mises à jour, celles disponibles pour leur mobile, pour le système d'exploitation de leur ordinateur ou pour leurs logiciels personnels. C'est sans doute l'une des meilleures façons de se protéger. Ensuite : les inciter à utiliser des mots de passe forts, c'est à dire uniques et difficiles à deviner. Pour les aider, nous leur offrirons aussi des outils comme des gestionnaires de mot de passe (Harvard a testé et recommande le gestionnaire de mots de passe en ligne LastPass) ou des systèmes à double authentification. En troisième lieu : faire en sorte que les gens évitent de cliquer de façon automatique sur les messages et les pièces jointes pour lutter contre le phishing et qu'ils soient capables de repérer quelque chose d'inhabituel. Enfin, le dernier objectif de cette campagne est d'inciter les utilisateurs à connaître leurs propres données. Il est vraiment important de savoir ce qu'il y a sur sa machine ou dans un dossier partagé. Savoir pourquoi ce document est ici. Se demander s'il est toujours utile. Sinon, savoir s'en débarrasser en toute sécurité ».
4 - Convaincre les utilisateurs d'adhérer aux meilleures pratiques
« Nous devons faire comprendre à nos utilisateurs, étudiants ou enseignants, que ces bonnes pratiques sont valables aussi bien dans un environnement personnel que dans un environnement professionnel. Et les respecter partout offre beaucoup d'intérêt ».
5 - La grande question de l'Internet des objets
« Pour avoir une idée de l'ampleur de ce sujet en terme de sécurité, et comprendre à quel point le problème est immense, il suffit de lire l'article sur la Jeep de Chrysler piratée à distance ! Nous devons savoir où sont utilisés ces dispositifs et les isoler autant que possible, parce que, selon mon expérience, ces systèmes n'ont pas été conçus en prenant en compte les questions de sécurité. Les gens sont surpris quand nous leur demandons de déconnecter leur dispositif du réseau parce qu'il est infecté par un logiciel malveillant. Le vrai danger, c'est quand ces systèmes arrivent à être en contact avec des données critiques. On nous a proposé maintes fois d'installer des capteurs sur notre réseau pour gérer nos matériaux recyclables et autres. Mais, avant de donner son accord, il faut exiger de séparer ces données de toutes les autres. À long terme, les dispositifs intelligents pourraient rendre nos vies meilleures et c'est formidable. Mais nous devons savoir qu'aujourd'hui, la question de la sécurité de ces objets et des risques qu'ils peuvent faire peser sur les environnements est encore très secondaire dans leur conception pour le moment ».