Read it in english with google
Bien que la plupart de mes lectures et mes flux RSS sont sans relation avec l'actualité algérienne des TIC, quelques fois je fait le parallèle. C'est le cas avec le billet concernant les différents états par lesquels passe une équipe de sécurité.
Ça concernait la poste.dz .
Et c'est toujours leur cas, ainsi que celui du quotidien d'oran encore down, qui me vient à l'esprit en lisant ce billet "8 reasons why website vulnerabilities are not fixed"
Je fait ici une compile / traduction des raisons citées dans le billet et même dans les commentaires (c'est pourquoi j'ai attendu 2 semaines depuis la 1ère lecture du billet), et l'ordre n'est pas important :
1- personne dans l'organisation ne comprend ni est responsable de la maintenance du code;
2- les fonctionnalités sont plus prioritaires que les correctifs de sécurité;
3- le code affecté est la propriété d'une boite externe non joignable;
4- le site web devra être remplacé incessamment;
5- le risque d'exploitation est accepté;
6- les solutions correctrices rentrent en conflit avec l'utilisation métier;
7- les exigences de conformité ne requièrent pas la correction;
8- personne dans l'organisation n'est au courant, comprend ou donne de l'importance au problème;
9- manque de prioritisation du problème (sévère, critique, mineur...)
10- les solutions de scan de vulnérabilités sont trop chères
11- l'organisation ignore les bonnes pratiques de sécurité applicative et essaye de corriger à sa manière;
12- ils ne savaient pas qu'il existe des applications dedans :) ;
13- manque de budget pour apporter toutes les corrections;
14- le risque est réduit par l'utilisation de firewall applicatifs;
15- c'est une fonctionnalité, pas une vulnérabilité !!! ;
16- l'application est en php :) ;
17- nos utilisateurs sont assez bête pour pouvoir exploiter ça :)
Belle liste et plein d'excuses. Dans certains cas, il y en a qui accumulent plus d'une :)
.
Il y a 3 ans
29 mai 2009 à 14:59 Ce commentaire a été supprimé par l'auteur.