Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

93% des personnes interrogées effectuent manuellement leurs audits de pare-feux et deux fois plus de fraudes sur audits depuis 2010 ont été déclarées, selon une étude Tufin

novembre 2011 par Tufin

Tufin Technologies présente les résultats de son étude annuelle sur la gestion des pare-feux. Un échantillon de 100 professionnels de la sécurité réseau directement impliqués dans la gestion et l’audit de pare-feux a répondu à cette enquête. Les résultats montrent que les processus manuels - et les contraintes de temps qu’ils engendrent - sont le plus grand challenge des professionnels de sécurité réseau.

Même si les exigences de conformité à des normes comme SOX, PCI DSS et ISO 27001 sont le moteur du fonctionnement de la sécurité, seul 7% de l’échantillon automatise le processus d’audit de pare-feux. En conséquence, 40% des entreprises passent un mois ou plus par an sur des audits de pare-feux. Pour 85% des répondants, jusqu’à 50 % des règles de pare-feux doivent être modifiées pour corriger une erreur de conception. Il n’est donc pas surprenant que 67% des personnes interrogées croient que leurs processus de gestion du changement les exposent à des failles de sécurité.
"L’étude menée cette année révèle que, plus que les contraintes budgétaires ou tout autre facteur, le temps est la ressource la plus précieuse du directeur de la sécurité", a déclaré Stephan Mesguich, directeur régional de Tufin Technologies France et Benelux. "Nous avons été surpris d’apprendre que la moitié de l’échantillon fait encore manuellement des tâches de base comme le renforcement des règles permissives, la recherche de règles redondantes ou la recertification. Gaspiller le temps d’administrateurs expérimentés pour chercher des aiguilles dans des bottes de foin n’apporte aucun avantage. L’automatisation de ces tâches économise une quantité importante de temps et d’argent, augmente considérablement la précision et l’efficacité du fonctionnement et améliore l’ensemble du réseau et de la sécurité de l’entreprise. Et, comme 86 % de l’échantillon gère avec des échantillons ou prévoit de gérer des pare-feux de nouvelle génération dans les 12 prochains mois, il est temps de s’y atteler."

Probablement le meilleur indicateur de l’ampleur du problème : 22% des personnes interrogées connaissaient un administrateur qui a falsifié les résultats d’un audit. Elles citent le manque de temps comme raison principale, contre 10% pour l’étude menée en avril 2010. Tout aussi inquiétant, le nombre d’entreprises qui ne font aucun audit sur leurs pare-feux. Presque un quart de l’échantillon (23%) n’a jamais effectué d’audit de pare-feu.

L’enquête a également mis en lumière des tendances intéressantes dans les trois composantes de la gestion du cycle de vie de la sécurité : fonctionnement des pare-feux, gestion des risques et conformité, automatisation des modifications de sécurité. Quelques-uns des moments forts :

Fonctionnement des pare-feux, gestion des risques et conformité
 En plus des responsables de la sécurité réseau qui ne font pas d’audits de pare-feu, 11% n’ont aucune idée du temps nécessaire pour en mener un.
 84% des personnes interrogées n’ont aucun moyen de savoir quand une règle de pare-feu doit être recertifiée ou déclassée (41%) ou gèrent le processus manuellement (43%).
 Près de la moitié de l’échantillon (47%) localise manuellement les règles redondantes ou chevauchantes ; presque 20% n’ont aucun moyen de les localiser.
 Alors que le motif principal de fraude sur audit est le manque de temps, il est suivi par deux autres raisons : les paramètres de l’audit ne sont pas pertinents pour l’entreprise (30%) et le sentiment que la sécurité du réseau donnerait une mauvaise image de l’équipe (également 30%.)

Automatisation des modifications de sécurité :
 28% ont déclaré qu’il leur faut en moyenne de quelques heures à quelques jours pour concevoir une modification de règle de pare-feu.
 Malgré le temps passé à modifier les règles, 85% ont indiqué que jusqu’à 50% des modifications de règles de pare-feux doivent être corrigées parce qu’elles n’ont pas été faites correctement.
 66% des répondants estiment que leurs processus de gestion du changement expose ou pourrait exposer leur entreprise à une faille de sécurité. Les principales raisons invoquées sont le manque de processus formalisés (56%), suivi par des processus manuels comportant trop d’étapes ou de personnes (29%).

"Malgré notre réussite, cette étude révèle que la courbe de maturité de la gestion du cycle de vie des politiques de sécurité est toujours à la hausse", a déclaré Stephan Mesguich. "Sans automatisation des processus, l’audit des systèmes de sécurité réseau, tout particulièrement quand les entreprises continuent d’utiliser de plus en plus de pare-feux dans des environnements virtualisés et de déployer des pare-feux de nouvelle génération, est impossible. 60% des personnes interrogées ont cité le manque de temps comme maillon faible de la sécurité de leur réseau. Cela justifie pleinement l’automatisation des processus de sécurité réseau de base qui sont chronophages et sources d’erreurs. »

L’étude de gestion de pare-feu de Tufin a été effectuée sur Internet via Survey Monkey. Elle a réuni un échantillon de 100 administrateurs du monde entier venant de sociétés de moins de 500 personnes (40%) à plus de 5000 personnes (30%) dans un large éventail de marchés verticaux comme les télécommunications, les services financiers, l’énergie, les produits pharmaceutiques et le transport.


Voir les articles précédents

    

Voir les articles suivants