Actu
La tâche s’annonce rude pour les DSI et RSSI en 2016, mais il est encore temps d’anticiper et de prendre de bonnes résolutions
janvier 2016 par Marton Illès, Evangéliste produits chez BalaBit IT Security
L’année 2015 fut particulièrement chargée en terme d’actualités dans le monde de l’IT et de la sécurité informatique. Autant de temps forts - cyber attaques de moyenne ou grande ampleur, projets de loi et réglementations, initiatives de sensibilisation publiques ou privées, etc. - qui auront eu le mérite de mieux sensibiliser les entreprises et de leur permettre de tirer des enseignements. L’année 2016 s’annonce toute aussi chargée et les DSI/RSSI auront fort à faire pour assurer la protection des données de leur entreprise. Afin de les aider dans cette tâche, voici quelques recommandations sur lesquelles ceux-ci devraient porter une attention particulière pour optimiser leurs défenses à l’aube de cette nouvelle année.
Trouver le bon équilibre entre sécurité informatique et business
Dans la vie comme en informatique, l’équilibre est très important et les extrêmes sont rarement les bonnes voies à suivre. En matière de sécurité, trouver le bon équilibre représente un vrai enjeu : où placer le curseur entre le bon niveau de sécurisation pour son réseau et ses employés, sans enfreindre la flexibilité du business de l’entreprise ?
Pour répondre à cette question, il est nécessaire de définir quels sont les gains potentiels de l’entreprise par rapport aux risques encourus si l’entreprise ne met pas en place toutes les mesures de sécurité nécessaires.
Récemment, Bruce Schneier, cryptologue et expert en sécurité informatique reconnu, a donné un avis intéressant dans un article de blog sur la question de l’équilibre entre sécurité informatique et flexibilité du business de l’entreprise. Il rappelle ainsi l’importance de la sécurité informatique, mais il estime que les entreprises ont tendance à la reléguer au second plan devant la nécessité de répondre à un besoin business immédiat. Pour lui, cette réaction est normale et finalement souhaitable car la sécurité ne doit pas freiner la croissance de l’entreprise.
Recommandation : prendre des risques considérés est une bonne chose et cela est même encouragé pour atteindre des objectifs forts. Le but étant de mettre en place une sécurité flexible qui s’adapte aux décisions business de l’entreprise.
La fin du contrôle et de la conformité à outrance
Nous avons tous besoin de règles et de contrôles. En matière de sécurité, les règles et contrôles sont requis à double titre : pour éviter les erreurs d’utilisation qui peuvent coûter cher à l’entreprise et parce qu’ils offrent des repères et une plus grande confiance aux utilisateurs. Ces règles et contrôles sont donc très importants, mais nous devons aussi comprendre quelles sont leurs limites.
Au cours des dix dernières années, la conformité a été l’une des principaux moteurs de la sécurité et cela s’est traduit très souvent par de nouvelles règles et contrôles. Malheureusement, la vie réelle prouve que même si elles permettent aux entreprises d’être conformes, ces niveaux de sécurité supplémentaires n’apportent justement pas forcément un niveau de sécurité supérieur.
La conformité et les règles sont de nature inflexibles, aussi l’entreprise perd très souvent en flexibilité, alors que cela ne lui permet pas non plus d’optimiser ses profits.
Progressivement, les entreprises regardent plus loin et commencent à répondre à leurs besoins en matière de sécurité, et pas seulement ceux définis par une nouvelle réglementation.
Recommandation : les entreprises doivent rester créatives et ne plus penser que par le respect des conformités et la mise en place de règles et contrôles. Une résolution pour cette nouvelle année serait de mettre la priorité sur la protection des actifs les plus sensibles et de se concentrer sur les menaces réelles, plutôt que sur des objectifs de conformité.
L’automatisation offre de multiples avantages
Alors que les fournisseurs de technologie assurent un approvisionnement continu de nouvelles solutions en réponse aux nouveaux besoins, le problème pour les entreprises est de faire face à une pénurie de talents sur le marché de la sécurité informatique.
Le facteur humain est en effet l’actif le plus difficile à gérer pour l’entreprise, et surtout de faire en sorte qu’il soit efficace dans la durée. Pour optimiser la gestion de l’actif humain, l’entreprise doit se poser deux questions :
– Comment faire en sorte que l’équipe de sécurité supervise le système informatique croissant et comment conserver son intérêt pour les missions demandées ?
– Pourquoi laisser un individu accomplir une tâche alors qu’une machine peut le faire ? Utiliser des ordinateurs peut considérablement augmenter la charge de travail pouvant être effectuée, fournissant ainsi une meilleure efficacité et une meilleure couverture des activités, alors que des tâches répétitives et ennuyeuses pourraient avoir des effets très négatifs sur la motivation des équipes. Bien sûr, toutes les tâches ne peuvent pas être automatisées ou réalisées automatiquement, mais dans le cadre de la sécurité, une analyse de nombreuses données, l’alerte en temps réel sur des erreurs de manipulation ou encore la réponse aux incidents pourraient être soutenus par des scripts ou du machine learning.
L’objectif est - à nouveau - de trouver le bon équilibre entre ce qui est automatisé et ce qui nécessite l’intelligence de l’homme. En 2016 et dans les années à venir, l’automatisation devrait se développer fortement dans de nombreux domaines de la sécurité informatique, de la gestion des politiques de sécurité, à travers par exemple, l’analyse des données, des logs ou encore l’analyse des événements.
Recommandation : continuer à repenser la gestion de son informatique et de sa sécurité, en laissant les hommes réaliser les actions/travaux qui nécessitent l’intelligence humaine tout en les libérant des tâches ennuyeuses qui pourraient être automatisées.
Déplacer son attention des actifs informatiques vers les activités des utilisateurs
La protection des données et des réseaux est la source de nombreux débats en entreprise, alors même que les utilisateurs n’ont jamais été vraiment pris en considération dans l’équation, tout en étant considérés comme LE maillon faible.
Récemment, les choses ont commencé à changer. Avec le Cloud et le mobile, il devient plus difficile de définir les surfaces de défense traditionnelle à protéger. Par ailleurs, l’étendue des utilisateurs a explosé : ce ne sont plus seulement des employés, mais aussi des clients, des intervenants externes, des tiers fournisseurs de services, des partenaires que les entreprises doivent prendre en considération.
Si l’entreprise considère les menaces externes mais aussi les attaques internes, la frontière entre les attaquants et ce que l’entreprise doit protéger devient de plus en plus difficiles à définir.
Une infrastructure centrée sur les identités offre une meilleure gestion des menaces et beaucoup plus de flexibilité dans un contexte d’évolution rapide de l’infrastructure.
Cette évolution va se poursuivre rapidement et la gestion des identités basée sur des contrôles d’accès et de comptes utilisateurs va devenir la base de la surveillance et des politiques de sécurité des entreprises.
Recommandation : les utilisateurs internes, et l’ensemble des intervenants extérieurs ayant accès au SI de l’entreprise (tiers, prestataires, etc.) doivent faire l’objet d’une attention accrue. Que cela soit intentionnel ou non, ils sont un vecteur important d’attaques et cela impose un renforcement de la sécurité autour de cette nouvelle surface d’attaque. Au-delà de la création et la gestion de droits d’accès (IAM), les équipes sécurité doivent également s’appuyer de plus en plus sur de l’analyse du comportement des utilisateurs. Véritable tendance, l’UBA est une solution d’avenir.
