Actualités

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Les métriques de la sécurité


Edition du 08/09/2005 - par M.O

Rares sont les articles aussi clairs sur un tel sujet. Scott Berinato de CIO décrit simplement comment dresser des tableaux de bord significatifs témoignant de la sécurité des S.I.. Point de statistiques, nulle intégrale, rien que de l'échelle temporelle, une pincée de scanner réseau, une feuille Excel (ou OpenOffice) et son module graphique et le tour est joué. La recette s'applique même aux petites et moyennes entreprises, sans qu'il ne soit nécessaire de dépenser des fortunes en auditeurs.

Les métriques selon Berinato se résument en 6 points. :
1. Les défenses de base (antivirus, antispywares firewall etc)
2. Les temps de latence de déploiement de correctif
3. La solidité des mots de passe
4. Les conformités des plateformes
5. Le volume du courrier électronique
6. L'index de risque
Le premier indicateur prend en compte les mises à jour des principaux logiciels de protection, le taux de couverture de ceux-ci, les disparités par service etc. Le second tableau, insiste l'auteur, nécessite une approche intelligente, capable de prendre en compte les tests de régression. Pour améliorer les mesures du tableau trois, promenez-vous avec un « password cracking tool » et faites une petite démonstration... ça impressionne toujours. L'état des mises en conformité peut, à moindre frais, être dressé avec quelques outils gratuits, tel celui du Center for Internet Security (souvent mentionné dans les colonnes de CSO France). Le cinquième graphique se passe de commentaire : les variations de flux smtp en apprennent parfois plus sur un état de crise que n'importe quel informateur secret. Le dernier point est peut-être le plus sujet à controverse : qu'est-ce qu'un risque, comment le pondérer, ces questions de CSO sont parfois très byzantines.

Bien plus qu'une recette pour homme sécu pressé, Berinato explique comment interpréter les résultats, et surtout comment ne pas utiliser ces mêmes résultats pour en tirer des conclusions hâtives. Chaque fiche pratique relative à une métrique particulière est également accompagnée d'une courte bibliographie. A lire, à retenir, à archiver.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Les logiciels malveillants ont augmenté de moitié, selon G Data

Le nombre de logiciels malveillants circulant sur la Toile a augmenté de moitié au (...)

Augmentation du nombre de logiciels malveillants de moitié sur le premier semestre

Le nombre de logiciels malveillants circulant sur la Toile a augmenté de moitié au (...)

IBM publie X-force, son palmares des vulnérabilités en ligne

Désigné plus mauvais ''patcheur de vulnérabilités'', Google conteste la méthode de (...)

Cisco crée un correctif pour le bug qui a planté 1% du web

Cisco a corrigé un bug dans son logiciel d'exploitation pour routeur, IOS (Internetwork (...)

Le site de e-commerce 2xmoinscher sécurise ses transactions en ligne

2xmoinscher.com est un site spécialisé dans le commerce entre particuliers. Il  a (...)

Hadopi : tentatives de phishing via de faux mails d'avertissement

Au moment où Hadopi promet l'envoi des premiers mails d'avertissement, de faux courriers (...)

Tentatives de phishing autour du paiement des impôts

En cette période d'avis d'imposition, certains contribuables reçoivent un courrier (...)
Recherche
Sondage flash
La principale faiblesse du Cloud Computing, c'est

Conférences
21/09/2010
DECISIONNEL
De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du lundi 13 septembre 2010 au mercredi 15 septembre 2010
Université d'été : « Les fondamentaux pour réussir les projets stratégiques à Dominante SI »
Jardins de Bagatelle (Paris, Bois de Boulogne)
en savoir plus
agendatout
l'agenda