Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude de RSA : les risques de sécurité pris par les entreprises qui se ruent sur les dernières technologies web et mobiles

juin 2009 par RSA, La Division Sécurité d’EMC

RSA, la division Sécurité d’EMC, a publié deux nouvelles études qui examinent les implications considérables de technologies en pleine expansion telles que le cloud computing, la virtualisation, les réseaux sociaux et les communications mobiles dans le domaine de la sécurité. Ces études explorent également les risques et les avantages que ces technologies représentent pour les entreprises et autres organisations du monde.

La première étude – réalisée par IDG Research Services – révèle un écart significatif entre la rapidité avec laquelle les organisations adoptent ces nouvelles technologies de connectivité, de collaboration et de communication et leur aptitude à les déployer de manière sécurisée. La deuxième étude, émanant du Security for Business Innovation Council de RSA, explique comment les entreprises peuvent capitaliser sur les avantages qu’apportent ces technologies sans accroître leur exposition aux risques.

« Les entreprises sont aujourd’hui des organisations « hyper-étendues » qui échangent de multiples manières de plus en plus d’informations avec des partenaires plus nombreux et plus dispersés que jamais », explique Art Coviello, Executive Vice President d’ EMC Corporation et Président de RSA, la division Sécurité d’EMC. « L’adoption accélérée des dernières technologies Web, sociales et mobiles, associée au recours croissant à l’outsourcing, est en train de dissoudre ce qu’il restait encore des frontières qui, traditionnellement, entouraient les organisations et leur patrimoine d’information. Les stratégies de sécurité doivent changer radicalement pour que les entreprises parviennent à atteindre leurs objectifs de réduction de coûts et de développement de chiffre d’affaires sans ouvrir de nouvelles brèches de sécurité, mettant leur activité en danger. »

D’après IDG, la plupart des entreprises se lancent sans s’inquiéter de la sécurité

Commanditée par RSA, l’étude de 2009 d’IDG s’appuie sur une enquête auprès de 100 responsables de la sécurité d’entreprise réalisant plus de 1 milliard de dollars de chiffre d’affaires. Cette étude montre que les entreprises sont si enthousiasmées par le potentiel des dernières technologies Web et mobiles qu’elles les déploient sans prendre les mesures appropriées pour sécuriser les processus et les données critiques.

Principaux résultats et conclusions de l’étude :

Plus de 70% des personnes interrogées pensent que l’escalade des niveaux de connectivité et d’échanges d’informations engendrée par les nouvelles technologies web et de communication transforme leur organisation en « entreprise hyper-étendues ».

Une majorité de répondants a augmenté l’utilisation de la virtualisation, de la mobilité et des réseaux sociaux au cours des 12-24 derniers mois, plus d’un tiers indiquant un recours croissant au cloud computing.

Cependant, la plupart des entreprises interrogées n’ont pas de stratégie appropriée pour évaluer les risques qu’implique l’adoption de ces technologies. Dans certaines organisations, les équipes de sécurité ne sont sollicitées que lorsque les problèmes surviennent et dans d’autres elles ne sont informées qu’une fois ces technologies déployées et déjà utilisées.

Moins de la moitié des entreprises ont développé des politiques de sécurité en direction des employées afin de les guider dans l’utilisation des outils et sites des réseaux sociaux .

Plus de 30% des entreprises interrogées hébergent déjà dans le cloud au moins quelques-uns de leurs processus métiers ou applications d’entreprise. 16 autres pourcent prévoient de démarrer des migrations vers le cloud dans les 12 prochains mois. Parmi ces dernières, deux tiers n’ont pas encore défini de stratégie pour le cloud computing.

Plus de 8 personnes interrogées sur 10 considèrent que les pressions s’exerçant pour réduire les coûts et générer du chiffre d’affaire ont augmenté l’exposition de leur entreprise à des risques de sécurité. Plus de 7 sur 10 ont connu au moins un incident de sécurité au cours des 18 derniers mois.

La majorité des personnes interrogées conviennent qu’elles doivent modifier et améliorer leur approche en matière de stratégie de sécurité pour s’adapter aux réalités de l’entreprise hyper-étendue.

Les résultats et conclusions de l’étude sont résumés dans le livre blanc d’IDG Research Services intitulé « As Hyper-Extended Enterprises Grow, So Do Security Risks, ». Ce rapport (en anglais) peut-être téléchargé sur le site de RSA à l’adresse suivante : www.rsa.com/innovation. Les entreprises peuvent également tester leur degré de préparation aux exigences de sécurité de l’entreprise hyper-étendue et comparer leurs résultats avec ceux des responsables interrogés dans le cadre de l’étude.

L’entreprise hyper-étendue exige une nouvelle approche de la sécurité

RSA a également publié les résultats du quatrième rapport de son Security for Business Innovation Council. Dans ce rapport intitulé « Charting the Path : Enabling the “Hyper-Extended” Enterprise in the Face of Unprecedented Risk », des directeurs de la sécurité de grandes entreprises expliquent la nécessité de transformer les stratégies de sécurité dans un monde où des actions bien intentionnées, visant à produire de la valeur pour l’entreprise, peuvent déboucher sur des risques catastrophiques.

« En cette période très particulière où nos environnements changent si rapidement, nous devons absolument crier « Time out ! » et prendre du recul pour nous assurer que notre programme comporte tous les éléments nécessaires », commente Claudia Natanson, Chief Information Security Officer de Diageo et membre du conseil. « Votre programme est-il en état de marche pour l’aventure difficile que vous êtes sur le point d’entreprendre ? Parce que seuls les plus agiles, les plus forts et les plus souples ont des chances d’arriver au bout. »

La précédente étude de RSA – « Driving Fast and Forward : Managing Information Security for Strategic Advantage in a Tough Economy » – a mis en évidence la nécessité de pas renoncer à l’innovation malgré les contraintes budgétaires et les restrictions de ressources. Ce nouveau rapport montre comment des professionnels chevronnés de la sécurité parviennent à concilier promotion de l’innovation et protection des informations dans un environnement de plus en plus risqué.

Sept recommandations pour construire un nouveau modèle de sécurité

S’appuyant sur des entretiens approfondis avec le Security for Business Innovation Council, dont les membres sont tous des responsables de la sécurité de très grandes entreprises, ce rapport présente des recommandations pour développer un modèle de sécurité prenant en compte les opportunités et les dangers du contexte actuel. Les membres du conseil expliquent pourquoi les menaces actuelles sont particulièrement traîtres, et prodiguent des conseils pour exploiter en toute sécurité les avantages métiers de l’entreprise hyper-étendue. Leurs orientations sont les suivantes :

1.) Restreindre l’environnement de protection – Identifier comment utiliser les ressources plus efficacement en appliquant une approche de gestion du risque à l’environnement de sécurité existant. Par exemple, le conseil propose des stratégies pour réduire l’utilisation des ressources de sécurité assurant la protection des données stockées, des appareils et actifs informationnels se trouvant hors les murs. En restreignant l’environnement de protection, les entreprises peuvent à la fois réduire les coûts et les risques et libérer des ressources pour des projets prioritaires.

2.) Être compétitif – Dans les contextes économiques difficiles, si les dirigeants constatent qu’ils n’obtiennent pas ce qu’ils attendent des services de sécurité internes, ils sont susceptibles d’accroître le risque global de l’entreprise en se tournant vers des prestataires extérieurs, sans prévenir ni impliquer la sécurité interne. Le conseil explique que les équipes de sécurité doivent se focaliser sur la qualité et l’efficacité de leurs services et être en mesure de démontrer l’adéquation entre la valeur qu’ils apportent et leurs prix.

3.) Adopter la technologie de manière proactive et selon vos propres conditions – Les départements de sécurité de l’information doivent reconnaître et accepter l’impossibilité de bloquer ou d’interdire l’utilisation des nouvelles technologies Web et de communication ; ils doivent au contraire en sécuriser l’utilisation. Les membres du conseil recommandent de passer de la sécurité réactive à la sécurité préventive et d’établir une feuille de route pour accompagner l’entreprise dans l’adoption de nouvelles technologies.

4.) Passer de la protection du contenant à la protection des données – A l’ère de l’entreprise hyper-étendue, de plus en plus de données sont traitées et stockées dans des containers que l’entreprise ne contrôle pas. Par exemple, les données peuvent être traitées par un prestataire extérieur ou stockées dans le PDA d’un salarié ou encore dans l’ordinateur portable d’un sous-traitant ayant probablement d’autres clients. Dans ce contexte, le conseil recommande de passer de la protection du contenant à celle du contenu c’est-à-dire des données elles-mêmes.

5.) Adopter des techniques avancées de contrôle de sécurité – Compte tenu des menaces actuelles, les équipes de sécurité doivent mettre à niveau leur méthode de surveillance des événements anormaux et autres malveillances. Les membres du conseil recommandent d’abandonner des techniques comme le blacklisting (mise sur liste noire) et les anti-virus à base de signature au profit de techniques plus précises telles que le monitoring des comportements des utilisateurs et le whitelisting (inscription sur liste blanche).

6.) Collaborer pour créer des standards – Les membres du conseil expliquent les raisons pour lesquelles le besoin de standards uniformes pour les professionnels de la sécurité, les fournisseurs tiers et les technologies émergeantes est aujourd’hui parvenu à un stade critique.

7.) Partager l’intelligence du risque : – Pour aider les entreprises à se défendre contre des attaquants internationaux et des réseaux de fraudeurs de plus en plus sophistiqués, les membres du conseil recommandent un partage accru en matière d’intelligence du risque et une collaboration renforcée entre les entreprises, les forces de l’ordre et les gouvernements.




Voir les articles précédents

    

Voir les articles suivants