7. Les processus de sécurité pourront-ils être finalement automatisés ?
Dossier par Vivien Derest avec IDG news service, 516 mots
L'automatisation des systèmes de sécurité est un concept important cette année. Bien que des progrès existent, une automatisation complète semble irréaliste dans les années à venir.
L'automatisation des systèmes de sécurité est un concept important cette année. La plupart des plus importantes agences fédérales américaines ( Département de la défense, Agence de Sécurité Nationale, Agriculture et Energie, ...) insistent pour une nouvelle orientation au-delà de l'actuel mandat d'audit FISMA de la sécurité.
Elles veulent que le Congrès et que l'administration d'Obama considèrent l'adoption des grandes lignes du Consensus d'Audit, un ensemble de 20 contrôles de sécurité techniques qui encouragent l'automatisation.
Mais la sécurité peut-elle être automatisée ?
Les domaines considérés comme suffisamment matures, tels que les scans ou la prévention des intrusions, peuvent être automatisés, estime l'analyste du Gartner John Pescatore. « Mais parce que les menaces et les environnements technologiques changent rapidement, l'automatisation de la sécurité est limitée. C'est bien d'en parler, mais en réalité le bénéfice pour l'entreprise est réduit. », poursuit-il.
L'automatisation ardemment désirée
Cependant, certains responsables IT se disent peu enthousiastes à l'idée d'acheter des produits ou services de sécurité s'ils ne contribuent pas à l'automatisation.
« Nous sommes complètement automatisés en ce qui concerne la création des identifiants. », annonce Mike Ruman, Responsable des communications et de la messagerie d'entreprise chez Grant Thornton, une firme qui compte plus de 50 bureaux et 6 000 employés.
L'allocation de ressources (provisioning) automatique peut créer un identifiant utilisateur en 8 minutes et assigner la personne à un groupe de sécurité basé sur le code de son emploi et son département, dit-il.
La firme utilise le provisioning GroupID d'Imanami afin de se synchroniser avec les ressources humaines et les bases de données des départements, ainsi que l'annuaire de Microsoft, Active Directory, pour mettre à jour les privilèges en ligne des employés toute les deux heures.
Photo : D.R.
« S'il y a des changements, cela permet de garder l'information à jour, et l'accès de l'utilisateur peut être fermé », dit Mike Ruman. Le maillon faible de cette chaine - qu'il a vu arriver une fois - est que les ressources humaines oublient de noter le départ d'un employé.
Mike Ruman remarque aussi que le processus d'auto-provisionning en place aide les auditeurs car il est simple de générer des rapports. L'une des barrières principales qu'il voit à l'automatisation de la sécurité est la politique de l'entreprise, particulièrement les "guerres de territoire d'administrateurs", lorsqu'ils se querellent à propos de tâches qui sont souvent manuelles.
Quoi qu'il en soit, les doutes à propos des perspectives pour la sécurité automatisée abondent.
Pas plus d'automatisation que de voitures volantes
« Comme pour les voitures volantes, les gens ont attendu une automatisation totale de la sécurité pendant des années. », commente Tracy Hulver, Vice-présidente exécutive du marketing et des produits chez NetForensics, un éditeur de produit de gestion des évènements de sécurité, aidant à automatiser la consolidation des données de sécurité et des journaux d'historiques.
« Malheureusement, c'est quelque chose qui est à des années, peut-être décennies, de pouvoir être réalisé. », regrette-t-il, ajoutant que l'automatisation a joué sur certains aspects des questions de sécurité « mais une intervention humaine est toujours requise pour pouvoir répondre de manière appropriée. »
- I. 1. Devez-vous surveiller vos employés de près ?
- II. 2. Vaut-il mieux choisir un seul vendeur de sécurité stratégique, ou plutôt rassembler les meilleures solutions de différents constructeurs ?
- III. 3. A quel point devons-nous avoir peur des statistiques de sécurité ?
- IV. 4. Les questions de sécurité retardent-elles l'adoption du Cloud computing ?
- V. 5. L'informatique mobile est-elle le talon d'Achille de votre politique de sécurité ?
- VI. 6. Comment gérer les risques qui viennent des réseaux sociaux ?
- VII. 7. Les processus de sécurité pourront-ils être finalement automatisés ?