L’IEEE Computer Society, branche informatisante du célèbre comité de normalisation Etats-Unien, vient d’accoucher d’un document d’une trentaine de pages censé dresser la liste des mauvaises pratiques « constatées dans la vraie vie et recensées par un collège d’experts » et en tirer les bonnes pratiques nécessaires . Cette journée « failles, portes ouvertes » (de la catégorie de celles que l’on enfonce) n’apprendra strictement rien aux spécialistes du genre. Mais le document, ainsi que le prestige de l’organisme éditeur, pourra peut-être servir à répandre la bonne parole auprès des jeunes générations d’architectes-systèmes, des DSI un peu trop « dégagées du cambouis » et autres grands manipulateurs conceptuels proches des directions générales.
Selon l’IEEE, donc, les usages salvateurs sont les suivants :
Acceptez ou attribuez une relation de confiance mais ne surtout ne la présumez pas
Utilisez un mécanisme d’authentification qui ne peut être contourné ou modifié
Séparez strictement les données et les instructions de commande/traitement, et n’exécutez jamais une commande de processus provenant d’une source qui n’est pas digne de confiance
Définissez une approche capable d’assurer que toutes les données sont explicitement validées
Utilisez correctement les ressources cryptographiques (sic)
Identifiez les données sensibles ainsi que la manière dont elles doivent être traitées et utilisées
Prenez toujours en compte les usagers (tant d’un point de vue ergonomie des procédures de sécurité que des pratiques constatées sur le terrain)
Déterminez à quel point l’intégration de composants de provenance extérieure peut modifier votre surface d’attaque
Prévoyez de vous adapter en prenant en compte de futurs changements d’objectifs ou d’acteurs