Sécurité nationale et sécurité en entreprise vont de pair
L'affaire Snowden, toujours elle, n'a pas fini de livrer toutes ses conséquences, en particulier pour les entreprises. Jusqu'alors, leur conception de la sécurité était différente de celle de la sécurité nationale, du moins en dehors des secteurs liés à la défense.
La sécurité nationale peut être un enjeu pour les entreprises privée. Elles ont à gérer un nombre croissant de cyber-menaces, même si ce n'est pas à elles de porter ce fardeau seules. Tel est l'un des messages d'une conférence qui s'est tenue en début de semaine où les experts de Kaspersky Lab ont partagé la vedette avec les responsables de sécurité d'entreprises et un ancien secrétaire américain à la sécurité intérieure.
"Si le secteur privé va vers le bas, et délaisse ses infrastructures critiques, alors le plus souvent ... la sécurité nationale se retrouve également en danger ", a déclaré Tom Ridge, qui a dirigé le nouveau ministère de la Sécurité intérieure à la suite des attentats du 11septembre 2001. « Parce que le gouvernement s'appuie tant sur les infrastructures essentielles comme les réseaux électriques, les réseaux de communication et de transport, qu'en raison des logiciels malveillants, la ligne entre les attaques contre les Etats et les attaques contre les entreprises est floue ».
Sur le même sujetHeartbleed touche au coeur de nombreux produits de Cisco et de JuniperDes Etats derrière les pirates
Les entreprises et les gouvernements sont confrontés à un large éventail de menaces actives, dont certaines sont probablement perpétrées par des pirates avec des États-nations derrière eux , selon Kaspersky , qui étudie la cybercriminalité et vend la technologie pour le contrer. Les grandes entre-prises doivent donc intensifier leur action face à des cyberattaques, qui ne sont plus évitables mais gérables, a déclaré Tom Ridge, qui dirige maintenant une société de conseil. Pour leur part, les gou-vernements devraient partager davantage d'informations avec le secteur privé, at-il souligné.
"Dans cette affaire, tout le monde a un rôle à jouer, en particulier le secteur privé. Et je ne suis pas sûr, aujourd'hui que l'entreprise privée soit aussi claire et directe que notre armée ». Les entre-prises doivent devenir résilientes plutôt que de déployer des outils de sécurité a poursuivi l'ancien ministre. Cela implique une autre gouvernance interne, d'autres conceptions en matière de formation de sensibilisation et de technologie.
La sécurité doit s'aligner sur l'activité
Ellen Richey, responsable des risques pour Visa International est allé dans ce sens. Pour elle, "si vous n'avez pas le soutien de la direction, du conseil, ou bien des propriétaires ... vous n'arriverez jamais à rien ». Aucune technologie ne pouvant compenser l'attention portée à la sécurité à tous les niveaux de l'organisation selon elle. " C'est tout aussi un problème de processus d'affaires. Vous devez être sur le business sept jours par semaine, 24 heures par jour, le traitement des tâches quotidiennes telles que les contrôles d'accès, les correctifs et les mots de passe doit correspondre à cet activisme ».
Ensuite, se pose la question des employés qui ont tendance à perdre des données vitales. " Certaines personnes ne devraient pas vraiment être en position de protéger quelque chose, " explique Ellen Richey. Si vous êtes l'une d'entre elles, vous ne devriez garder délibérément que peu de données sensibles auprès de vous ».
