Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
Devolutions Academy
RDM
Workspace
Launcher
Le début d'une nouvelle année est à l'horizon, ce qui signifie que des millions de personnes dans le monde prendront des résolutions du Nouvel An. Ces engagements annuels incluent des promesses telles que vivre plus sainement (petit conseil : dormez plus et buvez davantage d'eau!) et mieux gérer son argent (combien de LEGO a-t-on vraiment besoin?).
Eh bien, dans l'esprit de cette tradition, nous avons pensé qu'il serait utile de suggérer 10 résolutions du Nouvel An adaptées aux pros de l'informatique. Ce sont des actions, des stratégies et des comportements qui pourraient considérablement améliorer votre expérience professionnelle, vos performances et vos résultats — et peut-être aussi vos revenus (vous savez ce que cela signifie, n'est-ce pas? PLUS DE LEGO!).
Prêt à transformer votre expérience de travail et peut-être votre vie? Allons-y!
Résolution n°1 : « Je ferai des sauvegardes plus fréquentes. »
Autrefois, il était acceptable pour la plupart des entreprises de faire des sauvegardes quotidiennement ou même chaque semaine (et oui, certains se contentaient de les faire mensuellement ou juste "quand ils y pensaient"). Eh bien, cette époque est révolue.
Avec des menaces comme les rançongiciels en augmentation, effectuer plusieurs sauvegardes tout au long de la journée est essentiel. De plus — et nous ne saurions trop insister là-dessus — il est également nécessaire de vérifier régulièrement les sauvegardes pour s'assurer qu'elles sont fiables et utilisables en cas de sinistre.
Résolution n°2 : « Je concevrai une stratégie de retour en arrière. »
Souvent, les mises à jour systèmes et logicielles sont prévisibles et sans histoire — ce qui est exactement ce que vous souhaitez. Mais parfois, elles peuvent causer des problèmes qui affectent des flux de travail critiques ou entraîner des vulnérabilités de sécurité. Puisqu'il est impossible de garantir qu'une mise à jour sera parfaite, faites ce qui suit : concevez une stratégie de retour en arrière qui s'activera si une mise à jour tourne au fiasco.
Résolution n°3 : « Je resterai à jour sur les correctifs logiciels. »
Appliquer les correctifs en temps voulu est vital, mais soyons honnêtes : cela peut aussi être accablant. Il y a tellement d'outils, d'applications et de plateformes qui demandent des correctifs (et encore d'autres correctifs). Heureusement, vous pouvez réduire la charge de travail et gagner du temps avec un bon outil de gestion des correctifs.
Les outils les plus simples fonctionnent comme des rappels de mise à jour logicielle qui vous notifient lorsqu'un nouveau correctif est disponible. C'est utile, mais gardez à l'esprit que vous devez toujours appliquer manuellement le correctif. Les outils plus complets scannent de manière proactive les systèmes du réseau pour détecter les correctifs manquants, et peuvent être configurés pour télécharger et installer automatiquement les correctifs à des jours/heures planifiés. Pour des conseils sur des solutions populaires du marché, consultez cet article utile sur TechRadar.
Résolution n°4 : « Je créerai un plan de réponse aux incidents. »
Dans l'immédiat après-coup d'une cyberattaque, savoir quoi, quand, pourquoi, où et comment réagir peut faire toute la différence entre limiter les dégâts ou subir des pertes massives. C'est pourquoi vous avez besoin d'un plan de réponse aux incidents complet, que le National Institute of Standards and Technology (NIST) définit comme "une documentation d'un ensemble prédéfini d'instructions ou de procédures pour détecter, répondre et limiter les conséquences d'une cyberattaque malveillante contre les systèmes d'information d'une organisation."
Pour développer votre plan, commencez par un cadre qui définit les opérations de réponse et clarifie leur regroupement ou segmentation. Ces cadres sont disponibles auprès de divers organismes, comme le NIST, l'ISO, l'ISACA, le SANS Institute ou encore le Cloud Security Alliance. Il est également judicieux d'utiliser des guides opérationnels de réponse aux incidents, qui incluent des procédures pour gérer des attaques courantes comme les logiciels malveillants, les rançongiciels, l'hameçonnage ou les abus internes. De nombreux exemples et modèles sont disponibles, y compris cette excellente ressource créée par le gouvernement d'Australie-Occidentale.
Résolution n°5 : « J’éliminerai l’usage de mots de passe faibles dans l’organisation. »
Si certains utilisateurs de votre organisation continuent de choisir des mots de passe faibles, vous pouvez vous consoler (un peu) en sachant que vous n'êtes pas le seul pro de l'IT à devoir gérer cette frustration. Les résultats de l’enquête annuelle sur les mots de passe 2024 de NordPass viennent d’être publiés, et encore une fois, “123456” reste le mot de passe d’entreprise le plus courant, suivi de “123456789”, “secret” et ce bon vieux classique adoré des hackers : “password”.
Cette année, votre mission est de tout faire pour empêcher vos utilisateurs de choisir des mots de passe faibles (y compris les cadres dirigeants qui ne sont parfois pas mieux). Quelques recommandations pour réduire ce risque :
- Imposer l’utilisation de 2FA/MFA
- Imposer des phrases de passe au lieu de mots de passe
- Utiliser un gestionnaire de mots de passe réputé avec un générateur intégré
- Mettre en œuvre une gestion des accès privilégiés (PAM) et imposer un accès « juste-à-temps » pour les comptes privilégiés
- Comparer tous les mots de passe potentiels avec une liste de mots de passe faibles et compromis connus (selon le NIST, voir SP-800-63B Section 5.1.1.2 paragraphe 5)
- Imposer une politique d’historique des mots de passe afin d’empêcher leur réutilisation (le Center for Internet Security recommande une valeur de 24 ou plus, voir Section 1.1.1).
- Permettre aux utilisateurs de copier/coller les mots de passe — sinon, ils risquent d’utiliser des mots de passe simples et courts (selon le NIST, voir SP 800-63b section 5.1.1.2).
- Fournir aux utilisateurs une formation à la cybersécurité, leur rappelant qu’ils peuvent être tenus responsables en cas d’attaque (parfois, quand la logique échoue, l’instinct de survie fonctionne!).
Résolution n°6 : « J’expliquerai aux décideurs ce qu’est (et ce que n’est pas) un gestionnaire de mots de passe. »
Nous venons de mentionner qu’un bon gestionnaire de mots de passe peut améliorer la qualité des mots de passe. C’est vrai, mais il y a plus à dire.
Vous devez également aider les décideurs de votre organisation à comprendre un fait crucial : les gestionnaires de mots de passe sont essentiellement des outils métiers, et non des outils de sécurité. Ils sont conçus pour centraliser et gérer des données, mais pas pour garantir la sécurité. Ce dont la plupart des organisations ont besoin, c’est de compléter un bon gestionnaire de mots de passe avec une gestion des sessions privilégiées (PSM) ou une gestion des accès privilégiés (PAM).
Pour un article complet sur ce sujet, consultez cet article sur le blogue de Devolutions.
Résolution n°7 : « J’investiguerai et éliminerai les pratiques d’IT fantôme. »
L’IT fantôme désigne l’utilisation de matériel, logiciel ou services cloud sans l’approbation ou la connaissance de l’équipe IT. Selon Gartner, d’ici 2027, 75% des employés auront acquis, modifié ou créé des technologies échappant à la visibilité de l’IT, contre 41% en 2022.
Il est important de noter que certains utilisateurs qui pratiquent l’IT fantôme ne cherchent pas forcément à contourner les règles intentionnellement. Ils pensent parfois, à juste titre, que c’est la seule manière de travailler efficacement. Dans ces cas, écouter leurs besoins et mettre en place des solutions sécurisées adaptées est souvent la meilleure approche.
Résolution n°8 : « Je passerai d’un VPN à une solution Gateway. »
Une solution Gateway offre un accès juste-à-temps aux ressources dans des réseaux segmentés. C’est bien plus sécurisé qu’un VPN, surtout si votre organisation compte des travailleurs à distance. De plus, une solution Gateway est beaucoup plus facile à gérer qu’un VPN et n’altère pas l’expérience utilisateur. Pour en savoir plus sur ce sujet, consultez cet exemple.
Résolution n°9 : « Je mettrai en place un processus pour les départs d’employés. »
Une enquête a révélé qu’un employé sur quatre ayant quitté son poste avait encore accès aux comptes de son ancien employeur, y compris les anciens membres du personnel IT avec des privilèges d’accès élevés.
Cette année, comblez cette lacune en instaurant un processus standard pour les départs. Ce processus devrait inclure :
- La modification immédiate des mots de passe des employés pour leur interdire l’accès (ils peuvent faire une demande formelle s’ils ont besoin d’une information précise).
- La désactivation ou le verrouillage de tous les comptes. La désactivation est recommandée, mais il peut être nécessaire de verrouiller les comptes temporairement pour archiver les données.
- La modification des mots de passe des comptes partagés ou privilégiés (administrateur de domaine, administrateur local, comptes d’accès d’urgence, comptes applicatifs, comptes système, etc.).
Pour un guide détaillé, consultez cet article sur le blogue de Devolutions.
Résolution n°10 : « Je m’engage à gérer mon stress et à prendre soin de mon bien-être. »
Pour conclure, prenons un moment pour parler d’un aspect trop souvent négligé : votre bien-être.
L’épuisement et le burnout dans le domaine IT sont si fréquents qu’ils sont qualifiés d’« épidémie chronique ». La British Interactive Media Association (BIMA) a sondé plus de 30 000 professionnels IT dans 33 pays et a découvert que :
- 62% se sentent physiquement et émotionnellement épuisés par les exigences de leur travail.
- 56% ont du mal à se détendre après une journée de travail.
- 42% de ceux qui se sentent épuisés ou proches du burnout envisagent de quitter leur emploi dans les six mois.
Voici quelques conseils scientifiques pour réduire le stress au travail :
- Faites de petites pauses de 5 à 10 minutes au cours de la journée. Ces micro-pauses sont étonnamment efficaces pour récupérer (et c’est aussi un excellent moment pour se mettre à jour sur les bandes dessinées de Sysadminotaur!).
- Identifiez les activités non professionnelles qui vous aident à décompresser. Ce qui fonctionne pour vos collègues ne fonctionnera pas forcément pour vous.
- Exposez-vous à la nature, même brièvement, pour accélérer la récupération du stress.
Consacrez-vous à des activités exigeant un effort significatif, comme apprendre une langue, jouer d’un instrument ou faire du sport.
Le mot de la fin
Le début d’une nouvelle année offre l’opportunité de prendre des décisions qui peuvent transformer votre quotidien et améliorer durablement vos performances.
Ajoutez ces résolutions à votre liste et souvenez-vous : vous n’êtes pas une personne ordinaire. Vous êtes un professionnel de l’IT! Vous êtes le dernier rempart entre le chaos et le contrôle, la sécurité et la vulnérabilité.
Et tout au long de 2025, soyez assuré que l’équipe de Devolutions sera toujours là pour vous aider à être, à vous sentir et à donner le meilleur de vous-même, aujourd’hui et pour les années à venir!
