Les 5 erreurs à ne pas commettre en sécurité
Notre confrère NetworkWorld revient sur les cinq erreurs, techniques et politiques, qu'il ne faut pas commettre en matière de sécurité informatique. Il propose les conseils ad hoc aux directeurs des services informatiques et aux responsables de la sécurité.
Comme le nettoyage des vitres, la sécurité informatique peut être une tâche ingrate, car cela se remarque seulement lorsque cela n'est pas fait. A l'ère de la virtualisation, du "Cloud Computing" et des smartphones, on se doit d'éviter certaines erreurs techniques et politiques. Notre confrère américain NetworkWorld décrit cinq erreurs à éviter en matière de sécurité.
1. Penser que la vision du business de votre organisation est la même qu'il a cinq ans
Ceci est totalement faux. Le pouvoir et l'influence des responsables de systèmes d'information et de la sécurité ont été rognés à partir du moment où l'entreprise a autorisé les employés à utiliser des appareils mobiles personnels au travail, et depuis qu'elle a poussé des ressources informatiques traditionnelles et d'autres applications en mode Cloud Computing, parfois sans prévenir les responsables informatiques.
Face à ces changements, il est conseillé aux managers des systèmes d'information d'être pro-actifs en introduisant des pratiques de sécurité raisonnables en ce qui concerne les choix des technologies qui évoluent rapidement. Ces choix sont parfois réalisés par des personnes extérieures au département informatique. Les missions des responsables informatiques peuvent être qualifiées de « missions-impossibles » mais ce sont les leurs, et elles peuvent conduire à la mise en place d'une nouvelle politique de sécurité afin d'identifier et de catégoriser les risques afin que les responsables de l'entreprise ne se fassent pas une fausse idée des enjeux.
2. Ne pas réussir à construire des relations qui fonctionnent entre le département informatique et les autres managers de rang élevé
Les équipes en charge de la sécurité informatique sont généralement petites par rapport au reste du département informatique. La sécurité informatique repose alors ...
...sur les équipes informatiques afin de s'assurer que les mesures de protection de base sont bien effectuées. Le professionnel en charge de la sécurité informatique doit avoir des connaissances spécifiques pointues et de bonnes certifications en poche (comme le CISSP), mais cela ne signifie pas pour autant qu'il est forcément admiré ou aimé - d'autant plus que les gens en charge de la sécurité sont généralement réputés pour être ceux qui disent "non" aux projets des autres personnes.
Par ailleurs, il ne faut pas penser que l'organisation de l'entreprise est telle que le directeur informatique est toujours le preneur de décisions. Un changement fondamental se produit. Le rôle du CIO en tant que dirigeant et décideur pour les projet IT est entrain de décroitre au profit des directeurs financiers qui ont le dernier mot.
NetworkWorld estime même que certaines preuves révèlent que les directeurs financiers n'apprécient guère les directeurs informatiques. Les idées des directeurs financiers en matière de sécurité ne dépasseraient pas les simples aspects de la conformité à la réglementation en vigueur. Le travail pour le professionnel de la sécurité doit être de communiquer, communiquer, communiquer.
3. Ne pas être conscient des problèmes de sécurité soulevés par la virtualisation
Les entreprises sont sur la route de la virtualisation de 80 % de leur infrastructure de serveurs. Les projets de virtualisation des PC de bureau sont quant à eux en augmentation. Mais la sécurité est à la traîne, mais beaucoup pensent encore en faisant erreur que qu'elle se résout avec l'usage de réseaux virtuels VLAN. La réalité est que les architectures de virtualisation ont tout changé en ouvrant de nouvelles voies qui peuvent être exploitées par des pirates. Cela s'est déjà produit à de multiples reprises dans l'industrie informatique : des technologies révolutionnaires sont devenues disponibles mais une attention insuffisante a été accordée à l'impact sécuritaire qu'elles pouvaient avoir.
Certains produits traditionnels de sécurité, tels que les logiciels antivirus par exemple, ne fonctionnent pas ...
... bien sur des machines virtuelles. Les "appliances" matérielles peuvent présenter de nouvelles failles ou être invisibles sur le réseau et donc difficiles à contrôler. Aujourd'hui, les produits de sécurité spécialisés pour les environnements virtualisés arrivent enfin sur le marché - et les professionnels de la sécurité doivent comprendre s'ils doivent être utilisés ou pas. En parallèle, ces mêmes professionnels doivent tenir compte des évolutions en matière de sécurité des éditeurs tels que VMware, Microsoft ou Citrix. La virtualisation s'annonce très prometteuse en matière de sécurité pour améliorer le redémarrage de l'informatique en cas d'incident majeur.
4. Ne pas donner suite à une fuite d'informations
C'est un scénario cauchemardesque dans lequel les données sensibles sont volées ou accidentellement divulguées. En plus des techniques de détection ou de correction, les responsables de l'informatique doivent suivre l'évolution de la loi en matière de fuites de données.
Mais quelles lois? Cette question se pose particulièrement aux États-Unis où presque chaque état a maintenant ses propres lois sur la fuite de données et qu'il existe des règles fédérales. Quand une fuite de données arrive, cet évènement - souvent coûteux - requiert une participation coordonnée du directeur de la sécurité IT, du département IT, du service juridique, des ressources humaines et de la communication, au minimum. Il est préconisé que ces organisations se réunissent pour planifier le pire des scénarios de gestion de crise. En Europe et en France, les lois sont également en train d'évoluer et préparer des scénarios de gestion de crise est tout aussi indispensable, notamment afin d'éviter toute dégradation de l'image de l'entreprise auprès du public.
5. Se reposer sur les fournisseurs de sécurité informatique
NetworkWorld estime qu'il est nécessaire d'avoir de solides partenariats avec les éditeurs et les fournisseurs de sécurité informatique. Mais le danger, comme dans toutes relations avec un fournisseur, est d'oublier de regarder les produits et les services avec un oeil critique, en particulier en ce qui concerne la comparaison du service ou du produit avec les offres de la concurrence.
Il est nécessaire également d'examiner s'il est possible de trouver de nouvelles approches aux problèmes de base tels que l'authentification et l'autorisation, l'évaluation des vulnérabilités et la protection contre les malwares. De nombreux fournisseurs ont du mal à adapter leurs solutions de sécurité traditionnelles aux domaines de la virtualisation et du cloud computing. Dans un certain sens, c'est un peu le temps du chaos à l'heure où l'industrie informatique entreprend de se réinventer. Mais cela signifie que l'équipe en charge de la sécurité informatique va devoir s'imposer pour obtenir ce qu'elle croit nécessaire à l'entreprise maintenant et demain.
Photo : illustration (D.R).