La sécurité IT est l’une des préoccupations majeures des décideurs informatiques à l’aune des attaques récentes qui ciblent les entreprises et organisations partout dans le monde, comme Shellshock et Heartbleed. Ils s’efforcent donc de protéger le réseau de leur entreprise contre tous les types de menaces, provenant de l’extérieur comme de l’intérieur.

Comment peuvent-ils savoir qu’ils ont atteint un niveau de sécurité suffisant pour protéger l’entreprise des cyberattaques tout en offrant aux salariés de meilleures conditions de travail ? Pour qu’elle soit complète, l’approche de la sécurité informatique doit satisfaire trois critères essentiels : être adaptative pour tenir compte des caractéristiques changeantes des menaces, des préconisations internes et des usages de l’Internet en tous points du réseau de l’entreprise, être adaptée aux spécificités de chaque organisation et être pleinement adoptée par les utilisateurs.

Toute approche de la sécurité n’est rien sans l’infrastructure de sécurité correspondante. Chaque fois qu’un décideur informatique souhaite renforcer la protection de son réseau par l’implémentation d’une nouvelle solution, il doit s’assurer que celle proposée par l’éditeur est suffisamment évolutive pour accompagner le développement futur de l’organisation qui la déploie, selon le principe « better security, better business ! », qui reconnaît l’impact réel de la sécurité sur l’environnement de travail et le développement de l’activité.
Ces critères peuvent être appréhendés dans le cadre d’une approche ‘Triple A’ de la sécurité informatique. Si vous vous fixez un tel objectif de notation, il est nécessaire de déployer une politique de sécurité d’excellence. Des aspects doivent alors être pris en compte pour réunir les conditions d’une sécurité notée ‘Triple A’ et faire de la sécurité IT un moteur d’innovation, plutôt qu’un frein au développement :

Adaptative :

Les infrastructures IT changent constamment. Auparavant, elles étaient statiques mais deviennent désormais de plus en plus convergées. Les infrastructures de sécurité doivent donc s’adapter pour rester efficaces. Une architecture de sécurité adaptative concilie plusieurs facettes et dimensions : la prévention, l’investigation, l’analyse rétrospective et prédictive. Et pour finir, l’approche de la sécurité informatique doit tenir compte du contexte.

Gartner recense six grandes tendances qui appellent à une infrastructure de sécurité informatique contextuelle et adaptative : la mobilité, l’externalisation et la collaboration, la virtualisation, le Cloud Computing, la consumérisation et l’industrialisation des cybercriminels. Mais que signifie exactement la sensibilité au contexte ? Gartner définit la sécurité contextuelle par « l’utilisation de renseignements supplémentaires pour aider à prendre de meilleures décisions au moment où il le faut » et prédit qu’en 2015, 90 % des solutions de sécurité IT qui seront déployées en entreprise seront contextuelles .

Le principe fondateur d’une approche contextuelle de sécurité adaptative réside dans le fait que les décisions de sécurité doivent se baser sur des informations en provenance de plusieurs sources. Ceci commence par l’examen du contexte de la requête pour décider d’y donner suite ou de la rejeter en fonction des informations disponibles : la méthode d’authentification employée, l’heure de la journée, etc. Cette approche adaptative peut aider à améliorer la sécurité.

Adaptée :

Il n’existe pas deux entreprises en tous points semblables alors pourquoi est-ce que les mesures de sécurité mises en œuvre le seraient ? Il faut une dose de flexibilité suffisante pour que les solutions de sécurité répondent aux besoins spécifiques de chaque organisation. Les entreprises ont beau investir plus que jamais dans la protection de leurs systèmes et leur conformité aux réglementations et politiques internes, des vulnérabilités subsistent. Une étude commandée par Dell à Vanson Bourne révèle que 73 % des entreprises partout dans le monde ont été victimes d’un incident de sécurité au cours des 12 derniers mois.

Il existe des dizaines d’excellentes solutions ponctuelles, chacune traitant des aspects particuliers de la sécurité. L’administration de ces logiciels appelle des compétences spécialisées et le patchwork que composent ces solutions qui combinent différents produits crée inévitablement des brèches dont aucun fournisseur n’assume la responsabilité.

Il existe bien des solutions de sécurité globales et monolithiques, mais leurs règles sont inflexibles et elles coûtent très cher à administrer, si bien que les entreprises sont souvent dissuadées par leurs coûts d’exploitation. L’approche générique de ces solutions tout-en-un fait aussi qu’elles satisfont rarement les objectifs métiers des organisations qu’elles sont censées soutenir.

Les entreprises devraient plutôt envisager la sécurité sous les angles de la simplicité, de l’efficacité et de la connectivité et réunir les aspects éclatés de la sécurité IT en une solution intégrée de partage d’informations dans toute l’organisation.

Une telle solution simplifie la gestion de la sécurité, au point qu’il est facile pour les utilisateurs de se conformer aux règles. Elle facilite aussi l’adaptation aux spécificités de chaque entreprise pour aider à tenir les objectifs métiers au contraire d’une approche globale et standard.

Adoptée :

Un autre aspect essentiel de toute approche de sécurité consiste à faire en sorte que les salariés utilisateurs comprennent et adoptent les règles de sécurité. L’infrastructure IT et celle de sécurité sont aussi là pour soutenir l’entreprise et le développement de l’activité. L’aide à la mobilité des salariés en est un bel exemple dans le sens de la productivité accrue. Il est vital également que les employés adhèrent à la lettre aux règles de sécurité et qu’ils respectent les modalités d’accès aux données et aux applications. Sinon, la mobilité et les politiques de développement de l’entreprise peuvent créer des failles et exposer l’entreprise à des risques.

On pense trop souvent que les outils de sécurité freinent la productivité et qu’ils affectent les processus métiers. Dans la réalité quelqu’un qui n’aime pas le fonctionnement d’un système et qui a le sentiment que sa productivité en pâtit ne l’utilisera pas, tout simplement. La valeur ajoutée du système pour l’entreprise est perdue sans parler des risques encourus du fait du contournement des mesures de protection.

En considérant l’exemple de la mobilité, le BYOD est l’une des pratiques les plus courantes d’exposition d’une entreprise aux risques via ses collaborateurs. Le danger que des utilisateurs créent des failles de sécurité se voit corrélé au gain de flexibilité conféré par les pratiques BYOD. En fait, la perte de données enregistrées sur des appareils mobiles figure parmi les principales craintes des entreprises : selon une étude mondiale de Dell , 91% des décideurs IT estiment que « la mobilité représente un risque majeur ». Ceci explique pourquoi certaines entreprises rechignent à autoriser leurs salariés à se connecter aux réseaux internes au moyen de leurs terminaux personnels. En France, la maturité des entreprises vis-à-vis du BYOD est particulièrement forte au sein des grands comptes. Une part importante d’entre eux (42%) l’autorise (alors même qu’ils estiment en parallèle que le risque de perte de données est élevé).
Les salariés accèdent donc au réseau de l’entreprise par le biais de leurs appareils personnels et il semble donc plus important que jamais de former les salariés aux risques des cyber menaces et au respect des mesures de protection. Mais à ce jour, pour contrer les menaces, les outils de filtrage de contenus restent en France les plus utilisés (42% des PME, 47% des grands comptes) pour réduire le risque alors que la formation des utilisateurs n’arrive qu’au deuxième rang (34%).
En encourageant leurs employés à suivre des formations et à lire des guides sur la cyber sécurité, les entreprises les convaincront de la nécessité d’adopter les bonnes pratiques. Le service IT constatera alors un recul des risques de sécurité du fait des activités des salariés.

Triple A

Si votre politique de sécurité remplit les trois critères du Triple A alors votre niveau de protection est très élevé. Toutefois, ce n’est jamais acquis une fois pour toutes. Pour vous protéger des menaces, il est conseillé de relire régulièrement ces préconisations afin de vérifier que le niveau de sécurité maximum est non seulement atteint mais maintenu. Il ne faut pas oublier non plus la nécessité que les solutions de sécurité choisies accompagnent le développement futur de l’entreprise et qu’elles répondent à ses nouveaux besoins, sans perturber pour autant les parties préexistantes du réseau.

La méthodologie de notation de Moody’s est généralement reconnue pour donner une indication fiable de la solvabilité et de la bonne santé financière d’un pays ; reprendre cette base du triple A pour la sécurité informatique correspond à un bon moyen de tester le niveau de protection du réseau d’une entreprise. En veillant aux différents critères de notation ‘Triple A’, l’entreprise peut assurer la protection permanente de son réseau.

L’attention rigoureuse portée aux critères importants aide à identifier les failles de sécurité du réseau pour les combler et prévenir de futures attaques.