e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

Bien que la plupart de mes lectures et mes flux RSS sont sans relation avec l'actualité algérienne des TIC, quelques fois je fait le parallèle. C'est le cas avec le billet concernant les différents états par lesquels passe une équipe de sécurité.

Ça concernait la poste.dz .

Et c'est toujours leur cas, ainsi que celui du quotidien d'oran encore down, qui me vient à l'esprit en lisant ce billet "8 reasons why website vulnerabilities are not fixed"

Je fait ici une compile / traduction des raisons citées dans le billet et même dans les commentaires (c'est pourquoi j'ai attendu 2 semaines depuis la 1ère lecture du billet), et l'ordre n'est pas important :

1- personne dans l'organisation ne comprend ni est responsable de la maintenance du code;
2- les fonctionnalités sont plus prioritaires que les correctifs de sécurité;
3- le code affecté est la propriété d'une boite externe non joignable;
4- le site web devra être remplacé incessamment;
5- le risque d'exploitation est accepté;
6- les solutions correctrices rentrent en conflit avec l'utilisation métier;
7- les exigences de conformité ne requièrent pas la correction;
8- personne dans l'organisation n'est au courant, comprend ou donne de l'importance au problème;
9- manque de prioritisation du problème (sévère, critique, mineur...)
10- les solutions de scan de vulnérabilités sont trop chères
11- l'organisation ignore les bonnes pratiques de sécurité applicative et essaye de corriger à sa manière;
12- ils ne savaient pas qu'il existe des applications dedans :) ;
13- manque de budget pour apporter toutes les corrections;
14- le risque est réduit par l'utilisation de firewall applicatifs;
15- c'est une fonctionnalité, pas une vulnérabilité !!! ;
16- l'application est en php :) ;
17- nos utilisateurs sont assez bête pour pouvoir exploiter ça :)

Belle liste et plein d'excuses. Dans certains cas, il y en a qui accumulent plus d'une :)


.

1 commentaires

  1. martani  
    Ce commentaire a été supprimé par l'auteur.

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)