Professionnaliser la gestion de sa sécurité informatique devient
un enjeu crucial pour les PME et les grands comptes
où de multiples implémentations de couches de protection (pare-feu,
antivirus, détection et protection d'intrusion, authentification
forte
) ont eu lieu ces dernières années.
Face à un environnement allant vers la complexification, l'exploitation
des vulnérabilités s'est - au contraire - industrialisée, le
temps moyen d'exploitation passant de plusieurs mois à quelques
jours.
Pour
réagir à temps et ne pas se laisser déborder par des virus très
nombreux et des pirates de plus en plus réactifs face aux failles, Solucom
préconise - dans une étude récente - une gestion opérationnelle de la sécurité. Derrière
ce terme se cache la mise en place d'indicateurs de mesure
et de pilotage permettant de rentrer dans une démarche de progrès continu.
"Les entreprises ont aujourd'hui mis en place certaines solutions
de sécurité et commencent le déploiement automatisé de correctifs. Mais ces différentes actions ne sont pas coordonnées entre elles.
Lorsque l'on demande à un responsable sécurité des tableaux de
bords, il fournit majoritairement le nombre de virus recensés
sur les postes de travail à un instant T, ce qui n'intègre pas
tous les éléments d'une démarche sécurité", analyse Laurent
Bellefin, directeur de l'activité sécurité chez Solucom.
Le
manque de coordination plombe l'efficacité d'une
démarche artisanale de sécurité |
Dans ce cadre, l'amélioration continue nécessite un engagement
sur trois objectifs principaux : l'anticipation des nouvelles
menaces, la cohérence et la rapidité des actions entreprises
en cas d'incident et la souplesse et l'adaptation des processus
et des moyens de sécurité.
Dès lors, l'étude recommande un découpage
des activités en quatre domaines que sont les études et la définition
de standards de sécurité, le contrôle de la sécurité, l'administration
et le pilotage opérationnel.
Or, ces quatre fonctions - si elles sont présentes en entreprise -
nécessitent encore des améliorations. Par exemple,
sur la partie "études et standards de sécurité", le
livre blanc souligne l'importance d'un accompagnement des directions
métier lors de la définition des exigences de sécurité et d'une
prise en compte systématique de ces aspects dans les différents
volets des projets informatiques.
Sur le second point relatif à l'administration de la
sécurité, les entreprises doivent mieux découper les tâches
en fonction du périmètre technique de l'administrateur et ce,
pour limiter le volume d'informations à gérer.
Bien souvent, l'administrateur se perd entre les informations
émanant de composants de filtrage réseau, de composants de détection
d'intrusion, d'alertes de sécurité, de systèmes d'audits
de base de données, etc. Pour simplifier la tâche de l'administrateur,
la solution consiste alors à trier et fusionner ces indicateurs
mais aussi à les segmenter en fonction des domaines qu'il supervise.
La
cellule centrale vérifie la bonne entente entre
les différents métiers de la sécurité |
Troisième domaine de cette gestion opérationnelle de la sécurité,
les activités de contrôle sont certainement celles où les améliorations
possibles sont les plus nombreuses. Les contrôles actuels doivent
s'inscrire dans une démarche structurée, sans quoi ils s'exposent
au risque d'être trop éloignés des préoccupations opérationnelles,
menés de façon ponctuelle ou localement, offrant une vision restreinte
du périmètre de contrôle.
Ce même problème concerne le quatrième point, à savoir le pilotage
opérationnel de la sécurité où une veille sécurité est la plupart
du temps entreprise de manière locale, avec des procédures spécifiques
de traitement des incidents. Il manque donc une cellule centrale
facilitant la coordination et l'unicité des mesures de sécurité.
"Cette cellule centrale vient appuyer le responsable sécurité
dans son rôle. Le premier se focalise davantage sur les actions
opérationnelles tandis que la cellule centrale de gestion opérationnelle
se focalise sur la coordination de l'exploitation technique
de la sécurité. Il pourrait y avoir un conflit de pouvoir entre
les deux acteurs, mais il suffit pour cela de bien délimiter
les attributions de chacun", ajoute Laurent Bellefin.
Pour le responsable de l'étude, la constitution d'une telle
cellule nécessite un délai moyen de près d'un an, entre l'analyse
de l'existant, la définition des charges et l'affectation des
ressources, la formalisation des procédures puis l'entrée en
phase opérationnelle. La taille de la cellule dépend également
du recours ou non à des prestataires. |