Sécurité : le réveil peut être brutal !

Si les budgets accordés à la sécurité IT sont, dans de nombreux cas insuffisants, on observe également un manque de motivation stratégique au plus haut niveau de l’entreprise. Pourtant il est facile de se protéger.

Appel lancé aux entreprises pour qu’elles prennent compte les mises en garde des RSSI : les grands groupes négligent trop souvent l’importance de la sécurité de l’information. Conséquence : le vol de données confidentielles, personnelles et stratégiques.

On a récemment appris que Bercy aurait été victime d'une attaque informatique inédite ! Depuis le mois de décembre, plus de 150 ordinateurs ont été infiltrés par des «hackers». L'attaque semblait viser, pour l'essentiel, des documents liés à la présidence française du G20 et aux affaires économiques internationales. Cette opération d'espionnage d'une ampleur sans précédent  vient s'ajouter à la longue liste des cyber-attaques. Quelques jours auparavent, le P-DG de Renault, Carlos Ghosn, demandait un audit interne des fonctions de sécurité et du système d'information du groupe automobile français, par ailleurs au centre d'une affaire juridico-médiatique sur fond d'imbroglio d'espionnage industriel et de règlement de comptes. Il est significatif que la direction d'une des plus grandes entreprises françaises se sente obligée d'annoncer par la voix de son P-DG, le lancement d'un audit de sécurité.

En France, contrairement aux pays anglo-saxons ou à l'Allemagne, on constate que les grands groupes négligent trop souvent l'importance de la sécurité de l'information. Si elle figure parmi les préoccupations majeures d'un nombre croissant d'entreprises comme l'a montré l'étude 'Global Information Security Survey', publiée par Ernst & Young, il n'en demeure pas moins vrai que les budgets octroyés à la sécurité des systèmes d'information ne sont pas toujours à la hauteur des ambitions. Mettre en place une protection efficace engendre des coûts ! L'ensemble des DSI s'entend pour déclarer unanimement que la sécurité de l'information est un de leurs principaux soucis. Cependant, les ressources humaines et financières consacrées à ce poste, demeurent insuffisantes, faute de budgets ! Ou plutôt, faute de considérer cette activité comme primordiale. Autre constatation. En 2008, seules 12 entreprises françaises étaient certifiées ISO 27001, la norme de sécurité IT. La France était à égalité avec l'Islande mais loin derrière le Royaume-Uni qui comptait 400 entreprises certifiées, ou le Japon avec plus de 3000 entreprises certifiées !

Toutes les organisations sont informatisées et travaillent en réseau. L'ouverture à l'internet, le partage des données et l'interactivité croissante ont aussi beaucoup contribué à faciliter l'accès aux informations. S'emparer des données confidentielles, personnelles ou stratégiques devient un jeu d'enfant pour certains. Pourtant, en dépit de l'expansion des pratiques liées à Internet, les mesures de sécurité ne sont pas toujours au rendez-vous, voire négligées. Et, ce n'est pas toujours une affaire d'argent. C'est le plus souvent une question de motivation stratégique et de priorité, au plus haut niveau de l'organisation !

Alors que, certaines entreprises ont intégré la sécurité du système d'information à leurs programmes de gestion des risques, la maigreur des budgets qui y sont consacrés ralentit - voire empêche - la mise en œuvre des moyens techniques, organisationnels, juridiques et humains nécessaires. C'est alors qu'arrivent de sérieux accidents ! Victime des négligences et des malveillances, le système entier devient une proie. Sa disponibilité ainsi que l'intégrité et la confidentialité des données sont en danger. L'altération, le vol et la destruction des informations ont des conséquences financières non négligeables. Sans compter l'impact négatif qui touche l'image de l'organisation. Que penser, en effet, d'une entreprise qui ne protège pas ses brevets ou d'une banque qui se laisse voler les coordonnées de ses clients ?

Lorsqu'un sinistre se produit, l'entreprise s'emploie à le réparer. Mais qui dit réparation ne dit pas forcément suppression des causes. Les organisations privilégient souvent les outils physiques, négligeant d'autres aspects tout aussi importants. Or, la sécurité est globale ; la sécurité physique bien sûr est indispensable, mais il ne faut pas oublier pour autant la sécurité applicative, la sécurité des bases de données, la sécurité des procédures et du comportement des informaticiens, etc.

Comment bien se protéger ?

Heureusement, l'application des réglementations comme Sarbanes-Oxley, Bâle III ou la protection des données à caractère privé et personnel ont rendu obligatoire la mise en œuvre de procédures. La conformité des systèmes d'information avec la loi a nécessité la mise en place de processus pro-actifs. L'objectif est d'identifier et de cartographier les emplacements contenant des données sensibles (bases de données, systèmes CRM, ERP financiers et comptables, données de géolocalisation, données d'usage d'Internet et télécoms, etc.) au sein du système d'information. On vérifie, teste, mesure et analyse le niveau de sécurité et de protection des données et des accès. Il faut en effet collecter, corréler, analyser et paramétrer les données provenant du système d'information et des réseaux pour assurer une meilleure protection des équipements, certes, mais aussi des données et des procédures... en un mot de toute l'entreprise. La sécurisation et la mise en conformité légale sont établies à partir du constat effectué. Le résultat est une meilleure défense de l'entreprise, de ses clients et des utilisateurs. Il faut une protection pensée en amont, avant d'être attaqué ou volé. En un mot, une défense préventive.

Aujourd'hui, la dématérialisation des échanges impose de contrôler totalement les systèmes d'informations. Cet enjeu est d'autant plus important que le patrimoine de l'entreprise devient de plus en plus immatériel. Savoir ce qui se passe sur le système d'informations est impératif pour préserver ce patrimoine et prévenir tous les risques. Mais encore faut-il pouvoir garder une traçabilité des événements pour prouver les dommages subis en cas de poursuite en justice.

L'application des processus Forensic permet de déterminer ce qui est survenu, quand et comment et qui était impliqué. L'intégrité des preuves et leur archivage sont bien sûr capitaux. Les techniques employées doivent permettre la préservation, l'identification, l'extraction, la corrélation et l'interprétation des preuves informatiques.

On constate, nous l'avons dit, que pour des raisons essentiellement budgétaires, les entreprises manquent d'une vision globale de la sécurité du système d'information. Pourtant, elles souhaitent  défendre leur patrimoine comme le montrent l'adoption des réglementations internationales, le suivi des risques opérationnels ou le respect de la protection des données personnelles et privées. Alors que la sécurité de l'information tient une place aussi prépondérante, il n'est plus possible aujourd'hui de la sous-estimer, il est impératif de la pérenniser en y consacrant davantage de ressources humaines et financières. Comprendre et améliorer l'organisation des systèmes de sécurité et d'information pour les placer au maximum de leur performance devient aujourd'hui un souci constant. L'ordre du jour des comités de direction doit intégrer les rapports des responsables de la sécurité. Construire sa politique de sécurité de l'information et non plus réagir aux événements fâcheux, devient un atout de pérennité et un signe de maturité du management.

Les RSSI (Responsables de la Sécurité des Systèmes d'Information), les CISO (Chief Information Security Officer) et les Responsables de Sécurité Opérationnelle vivent cet état de fait. Ils rappellent quotidiennement au sein de leurs entreprises que les risques IT - internes et externes - sont énormes et indépendants du secteur économique et que la sécurité IT doit être un processus transverse, permanent et primordial ! Leur direction, au plus haut niveau de leur management comme celle de Renault, doit prêter attention à leur mise en garde et leur apporter l'aide nécessaire pour que l'on n'assiste pas à un nombre sans cesse croissant d'entreprises et d'administrations touchées par un état de crise et des sinistres de sécurité IT. Sinon, le réveil peut être brutal.

Autour du même sujet