Les 10 lois immuables de la sécurité

Dernière mise à jour : 21 juin 2018

En sécurité informatique, il y a des vérités qu’on retrouve régulièrement et qu’on peut généraliser facilement. Microsoft en a énoncé une dizaine, très intéressantes, et sans être totalement absolues, indiscutables, ou complètes, elles contiennent de très nombreux points de repères et principes valables indépendamment de toute technologie.

  1. Si un méchant peut vous convaincre de faire tourner son programme sur votre ordinateur, alors ce n’est plus tout à fait votre ordinateur.
  2. Si un méchant peut modifier le système d’exploitation de votre ordinateur, alors ce n’est plus tout à fait votre ordinateur.
  3. Si un méchant peut accéder physiquement à votre ordinateur, alors ce n’est plus tout à fait votre ordinateur.
  4. Si un méchant peut exécuter du contenu actif sur votre site web, alors ce n’est plus tout à fait votre site web.
  5. Les mots de passe faibles l’emportent sur la sécurité.
  6. Un ordinateur n’est sécurisé qu’autant que son administrateur est digne de confiance.
  7. La sécurité de données chiffrées est celle la même que celle de la clé de chiffrement.
  8. Un anti-malwares (anti-virus) non mis à jour n’est que légèrement plus efficace que de ne rien faire.
  9. L’anonymat absolu est inatteignable en pratique, en ligne ou hors ligne.
  10. La technologie n’est pas la panacée.

Au sujet de la loi #10, Bruce Shneier dit même :

If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.

Version originale, en anglais, sur le site de Microsoft :

  1. If a bad guy can persuade you to run his program on your computer, it’s not solely your computer anymore.
  2. If a bad guy can alter the operating system on your computer, it’s not your computer anymore.
  3. If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore.
  4. If you allow a bad guy to run active content in your website, it’s not your website any more.
  5. Weak passwords trump strong security.
  6. A computer is only as secure as the administrator is trustworthy.
  7. Encrypted data is only as secure as its decryption key.
  8. An out-of-date antimalware scanner is only marginally better than no scanner at all.
  9. Absolute anonymity isn’t practically achievable, online or offline.
  10. Technology is not a panacea.

Source : https://technet.microsoft.com/en-us/library/hh278941.aspx