Monthly Archives: October 2014

Toi aussi amuses-toi avec les consignes de sécurité…

Les responsables sécurité ont rarement la réputation de joyeux lurons. En général, un “security officer” qui débarque dans une réunion est souvent perçu comme l’empêcheur de tourner en rond. Si c’est le cas, il a du travail à faire car, à mon humble avis, il devrait être perçu comme la personne qui va permettre de faire avancer l’entreprise et ses projets en les sécurisants et en les rendant pérenne.

On ne le répétera jamais assez, aucun plan de sécurité, aucune politique, n’a d’utilité si elle n’est pas communiquée, comprise et appliquée par toutes les personnes concernées. Dans la plupart des entreprises, la sécurité est l’affaire de tous. Trop fréquemment, malheureusement, les campagnes de sensibilisation à la sécurité sont peu imaginative, incompréhensible, peu attirante (pour ne pas dire moche) et certaines vont même jusqu’à favoriser des comportements opposé à ses objectifs grâce à une communication et à un message inadapté.

Les compagnies aériennes n’échappent pas à la règle. Afin d’assurer la sécurité de leurs passagers, ceux-ci sont priés d’écouter au début de chaque vol les consignes de sécurité leur rappelant de boucler leur ceinture, de ranger leurs bagage à main et de respirer dans le masque à oxygène si celui-ci venait soudainement à apparaître devant eux. Si vous avez un jour pris l’avion, vous vous en souvenez peut-être. Vous vous rappelez probablement aussi que c’est un moment légèrement barbant (surtout si vous voyagez souvent en avion). Je ne sais pas si certaines enquêtes ont montré que la plupart des passagers ne se souviennent pas de ces règles élémentaires mais il semble que certaines compagnies (ou parfois certaines hôtesses ou steward) investissent dans une communication plus agréable de leurs consignes.

Il serait intéressant d’évaluer si ces initiatives augmentent la mémorisation des règles de sécurité et surtout la concordance des comportements des passagers avec ces règles. Il est fort probable que le principal avantage de ces initiatives est de donner une meilleure image de l’entreprise, plus sympathique. Il y a cependant une leçon à tirer de cela, surtout pour les responsables sécurité qui sont perçus comme barbant (tout comme leurs règles): avec un peu de créativité, on peut changer l’image, la perception des règles et aussi, probablement, augmenter la “compliance” à celle-ci. Voici donc quelques exemples de créativité en la matière. Si les aspects de communication persuasive ne sont pas toujours pris en compte, au moins, c’est amusant et ça correspond déjà plus à l’une des règles essentielles: KISSS (Keep it Simple, Stupid & Sexy).

Les petits pas qui font plaisir / Little steps that makes you happy

Après 4 ans et demi d’existence, un petit nettoyage de façade s’imposait. Voilà qui est fait. Apalala sprl a désormais son nouveau logo, sa nouvelle charte graphique et une présence accrue sur les réseaux sociaux avec désormais son propre compte twitter @apalala_sprl pour ceux qui veulent continuer à être tenu au courant des publications sur notre blog via Twitter.

Que pensez-vous de notre nouveau logo?

Apalala-logo

 

Et très bientôt un “revamping” du site web et de nos services et solutions.

Bonne semaine à vous.

 

Comment sécuriser wordpress?

Wordpress est un gestionnaire de contenu, tels des blogs, très répandu sur Internet. C’est une solution gratuite (Open Source) qui peut être configurée et étendue pour répondre à un grand nombre de besoins grâce à de très nombreux ajouts disponibles (Plugins).

WordPress étant très répandu, certains hackers ciblent spécifiquement les sites worpress afin d’en exploiter les éventuelles vulnérabilités. Heureusement, la communauté qui développe wordpress est très active et l’application est fréquemment mise-à-jour permettant de rapidement combler les éventuelles failles qui seraient découvertes. Néanmoins, la nature même des sites web utilisant WordPress, à savoir les sites au contenu dynamique qui, souvent, permettent aux visiteurs de laisser des commentaires ouvre des possibilités d’exploit tels que du XSS (Cross site scripting) voir parfois de l’injection SQL (bien que l’application soit généralement bien protégée contre ce dernier type d’attaque). Si vous exploitez un site sous wordpress vous même, sur votre propre nom de domaine (vous pourriez très bien créer votre blog sur le site wordpress.com et, de là, avoir moins de flexibilité mais aussi un peu moins de soucis) il y a quelques règles élémentaires à suivre pour diminuer les risques de voir votre serveur se transformer en Zombie ou voir votre site changer subitement de contenu ou servir de relai pour atteindre vos visiteurs.

  1. Utilisez des mots de passe suffisemment long, de préférence de 12 caractères ou plus, incluant des minuscules, majuscules, des chiffres et des caractères spéciaux. (pas uniquement pour WordPress mais aussi pour tous les accès à votre site internet comme le FTP, le SSH, la console d’administration, etc.). C’est probablement la mesure la plus rudimentaire et évidente mais il y a toujours quelques personnes qui l’oublient, Un mot de passe de 8 caractère sans grande compléxité peut être trouvé par essais successifs en quelques heures voir moins. Préférez donc M0nL@ngMo1dePa$$€ à 123456.
  2. Pour aider à prévenir l’usage de systèmes automatiques qui essaient tous les mots de passe possible et imaginables, utilisez un pugins comme Captcha qui va demander une interaction (comme lire un mot ou faire un calcul) à l’utilisateur avant d’accepter son mot de passe. Cela diminue grandement la probabilité de pouvoir deviner le mot de passe.
  3. Exigez que vos utilisateurs se soient identifiés avant de les autorisés à publier un commentaire sur votre site. Idéalement même, si cela ne vous semble pas nécessaire, supprimez cette possibilités. De plus, exigez de valider chaque commentaire avant qu’il ne soit publié sur votre site (afin d’éviter de mauvaises surprises). Allez dans Settings > Discussion et sélectionnez au moins les deux options suivantes: “Comment author must fill out name and e-mail” et “Users must be registered and logged in to comment” ainsi que cette troisième option: “Before a comment appears comment must be manually approved
  4. Faites très régulièrement les mises-à-jour de l’application. WordPress à grandement simplifié le processus, il vous suffit de vous connecter comme administrateur et de cliquer sur le bouton “update” (ou mise-à-jour si vous utilisez la version française)
  5. Vous pouvez aussi utiliser des plugins comme “the ultimate security checker” ou “Exploit scanner
  6. N’utilisez pas trop de Plugins et si possible, essayez de vérifiez qu’il provient d’une source fiable en effectuant quelques recherches sur Internet afin de lire les avis des utilisateurs ou voir si il y a des alertes concernant cette extension ou ce thème.
  7. Assurez-vous que votre serveur (et pas uniquement votre application wordpress) est à jour (votre serveur HTTP, FTP, votre système opératoire, etc.) Si vous utilisez un serveur partagé, il faut espérer que votre fournisseur fait correctement son travail à ce niveau là.
  8. Si posssible, réduisez les droits d’accès de WordPress à votre base de donnée au strict nécessaire, c’est à dire de préférence uniquement aux tables de WordPress.

Il y a d’autres mesures possibles (comme de protéger la partie d’administration de WordPress par un mot de passe sur le serveur web) mais on arrive à des solutions un peu plus difficile pour les néophytes (les experts n’ayant en général pas besoin de ces conseils, il les connaissent par coeur).

Bon amusement.