Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Symantec présente les résultats de son rapport sur la protection des infrastructures critiques

novembre 2011 par Symantec

Symantec publie les résultats de son enquête 2011 sur la protection des infrastructures critiques (CIP, Critical Infrastructure Protection), menée auprès de 3 475 entreprises à travers le monde. Cette étude révèle une baisse d’engagement et du niveau d’information des entreprises, mesurés par l’indice de participation aux programmes de protection des infrastructures critiques. Au niveau mondial, l’index de participation à la protection des infrastructures critiques montre cette année une baisse de 18 points, à 82%, comparé à 2010. En France, cette participation tombe même à 69%. Les entreprises qui gèrent des infrastructures critiques sont présentes dans des secteurs qui sont d’une importance telle que l’attaque et l’indisponibilité de leurs réseaux pourraient constituer une menace réelle pour la sécurité nationale.

« Les résultats de cette enquête sont d’autant plus alarmants que de récentes attaques, telles que Nitro et Duqu, ont ciblé des entreprises gestionnaires d’infrastructures critiques », déclare Laurent Heslault, directeur des stratégies de sécurité de Symantec. « Cependant, les limitations en termes de budgets et de ressources disponibles citées par les personnes interrogées expliquent pourquoi les fournisseurs d’infrastructures techniques ont du définir leurs priorités et concentrer leurs efforts sur les cyber-menaces plus « quotidiennes ». Nous pensons que les attaques ciblées de type Stuxnet, Nitro et Duqu contre les entreprises qui gèrent des infrastructures critiques se poursuivront. Les entreprises et les gouvernements doivent redoubler d’efforts pour promouvoir et coordonner la protection des réseaux critiques. Ces attaques récentes seront vraisemblablement suivies d’attaques plus ciblées visant des infrastructures critiques », ajoute-t-il.

Points clés de l’enquête :

- Baisse des niveaux d’information et d’engagement dans les programmes de protection des infrastructures critiques : cette année, les entreprises sont généralement moins au courant des programmes de protection des infrastructures critiques mis en place par leur gouvernement. 36 % des personnes interrogées connaissaient relativement bien ou très bien les programmes de protection des infrastructures critiques dans leur pays, contre 55 % en 2010. En 2011, 37 % des entreprises sont complètement ou significativement impliquées, contre 56 % en 2010. En France, seulement 29% des entreprises étaient très bien ou relativement bien informées de ces programmes menés sur le sol français . Et seulement 27 % étaient impliquées.

- Ambivalence en légère hausse au sujet des programmes de protection des infrastructures critiques : il ressort également de l’enquête que les entreprises sont plus ambivalentes en 2011 qu’elles ne l’étaient en 2010 au sujet des programmes de protection des infrastructures critiques. Par exemple, lorsqu’il leur a été demandé d’exprimer leur opinion au sujet de ces programmes, 42 % n’avaient pas d’opinion ou étaient neutres. Les entreprises françaises sont légèrement plus circonspectes avec 47% de réponses « neutres ». En revanche, les entreprises françaises sont nettement plus réservées encore que la moyenne internationale quant à leur volonté de participer à ces programmes : seulement 40% contre 55% dans le monde.

- Les entreprises internationales se sentent moins bien préparées : il n’est pas surprenant qu’une entreprise qui redoute moins le danger soit moins bien préparée à l’affronter. Le niveau de préparation général a baissé en moyenne de 8 points (de 60 à 63 % en 2011, contre 68 à 70 % en 2010).

En France, entre 42% et 55% (selon les secteurs) des entreprises se déclarent extrêmement bien préparées contre 68 % à 76% l’an passé. A l’inverse, la proportion d’entreprises s’estimant mal préparées est passée de 31% à entre 7 et 13%.

Recommandations pour renforcer la protection des infrastructures critiques contre les cyberattaques :

- Mettre en place et appliquer des politiques informatiques, et automatiser les processus de mise en conformité. Les entreprises doivent hiérarchiser les risques et définir des politiques couvrant l’ensemble des sites, puis les appliquer avec des processus automatisés. Elles peuvent ainsi identifier les menaces et remédier aux incidents lorsqu’ils se produisent, voire les anticiper.

- Protéger les données proactivement avec un modèle informatique centré sur l’information. Une stratégie de protection des informations orientée vers le contenu est essentielle pour savoir qui détient les informations, où se trouvent les données sensibles, qui y a accès et comment protéger les données qui entrent dans l’entreprise ou en sortent.

- Gérer les systèmes en mettant en œuvre des environnements d’exploitation sécurisés, en distribuant et en appliquant les correctifs selon leur niveau, en automatisant les processus pour les rationaliser et améliorer leur efficacité, et en assurant le suivi et le reporting de l’état des systèmes.

- Protéger l’infrastructure en sécurisant les points d’accès, la messagerie et l’environnement Web. En outre, il est recommandé d’accorder la priorité à la défense des serveurs internes stratégiques ainsi qu’à la sauvegarde et à la restauration des données. Les entreprises doivent également avoir une vision précise et complète de leurs infrastructures et disposer d’un système de surveillance leur permettant de répondre rapidement aux menaces.

- Assurer une disponibilité 24 h/24 et 7 j/7 : les entreprises doivent mettre en œuvre des méthodes de test transparentes et non-disruptive, et réduire la complexité de leurs systèmes en automatisant leur basculement en cas d’incident. Les environnements virtuels doivent être gérés de la même manière que les environnements physiques. Il est donc impératif pour les entreprises d’adopter des outils compatibles avec plusieurs plates-formes et environnements ou de standardiser leur parc autour d’un nombre de plates-formes réduit.

- Développer une stratégie de gestion de l’information qui comprend un plan et des politiques de conservation des données (sauvegarde, archivage, archivage légal, déduplication et prévention des pertes de données).

Recommandations aux gouvernements afin d’encourager la protection des infrastructures critiques :

- Les gouvernements doivent continuer à fournir les ressources nécessaires pour établir des programmes de protection des infrastructures critiques.
La plupart des entreprises qui gèrent des infrastructures critiques confirment connaître l’existence de ces programmes.
En outre, la plupart d’entre elles soutiennent les efforts gouvernementaux visant la mise en place des programmes de protection.

- Les gouvernements doivent s’allier aux associations industrielles et aux groupes d’entreprises privées en vue de diffuser l’information et de faire connaître les organismes et les plans de protection des infrastructures critiques. Plus exactement, ces informations doivent préciser comment faire face à une cyberattaque, quel est le rôle du gouvernement, quels sont les contacts spécifiques pour les différents secteurs tant au niveau régional que national, ainsi que la manière dont les gouvernements et le secteur privé doivent partager les informations en cas d’urgence.

- Les gouvernements doivent souligner que la protection des infrastructures critiques dépasse le champ de la sécurité. Les entreprises du secteur doivent veiller particulièrement à ce que leurs données soient stockées, sauvegardées, organisées et hiérarchisées, et à ce que des contrôles des identités et des accès adéquats soient mis en place.




Voir les articles précédents

    

Voir les articles suivants