Le Sans publie l’édition 2.3 des « Vingt points de sécurité critiques à contrôler absolument ». Une liste qui change des statistiques alarmistes que les éditeurs émettent à qui mieux-mieux en cette fin d’année. Les « vingt points » du Sans sont un résumé méthodologique qui règlent le « gai informatiser », et dont les points d’entrée évoluent avec les menaces et les changements technologiques. A lire et à respecter, car l’on frise là une approche normative de la protection des S.I. Comme chaque année, certains fondamentaux ne changent pas et conservent une place importante. Notamment les deux premiers points de contrôle que sont l’inventaire des matériels et logiciels approuvés ou non que l’on peut inventorier dans un parc, suivi immédiatement de la bonne configuration desdits équipements autrement dit, du passage en revue des « configurations par défaut » si dangereuses dans bien des cas. Monitoring, contrôle des accès, restriction des privilèges élevés, ce sont avant tout des conseils portant sur l’administration générale du parc qui forment le socle de cette check-list. Les point les plus à la mode (défense périmétrique, DLP, antimalwares, surveillance des équipements sans-fils, tests de pénétration…) ne sont rangés que dans la seconde moitié du classement. De la méthode avant toute chose, et défense sans conscience n’est que ruine du S.I.