En 2012, la sécurité sera la priorité #1 du Cloud mobile

La sécurité évolue autour de trois développements majeurs des technologies de l’information et tient un rôle plus important que celui escompté en devenant un élément clé de la souplesse de l’entreprise et de la capacité de cette dernière à adopter de nouvelles technologies sans délai.

Différents thèmes qui ont commencé à faire parler d’eux en 2010 font désormais en 2011 l’objet d’une véritable attention pour la planification stratégique de l’activité et des ressources informatiques, notamment le Cloud computing et l’utilisation des équipements mobiles. À l’instar de nombreux autres processus évolutifs, des thèmes nouveaux comme la sécurité n’ont pas été immédiatement projetés sur le devant de la scène. Mais la sécurité joue un rôle de plus en plus important pour déployer la technologie. Peu importe l’aspect révolutionnaire ou avant-gardiste d’un nouveau paradigme informatique: s’il ouvre la porte à des utilisateurs malveillants qui pourront ensuite s’introduire dans le réseau de votre entreprise, sa valeur pour votre activité est inférieure à zéro.

Prédiction #1 pour 2012 : le Cloud computing propulsera la (l’in)sécurité des équipements mobiles vers de nouvelles sphères
La prolifération des équipements mobiles, principalement les smartphones et les tablettes, à travers le monde de l’entreprise américain au cours de l’année dernière est tout simplement époustouflante et, pour les professionnels de l’informatique, et plus particulièrement ceux en charge de la sécurité, elle n’est rien de moins qu’un cauchemar. Et de nouvelles plates-formes, de nouveaux équipements et de nouveaux formats continueront de pousser comme des champignons à travers le monde.
Selon l’analyste en chef Pauline Trotter qui travaille pour Ovum, « le marché des smartphones d’entreprise connaîtra une croissance sensible au cours des cinq prochaines années, avec 26,8 millions d’équipements opérationnels fin 2011 et 54 millions de terminaux qui seront utilisés en 2016, soit un taux de croissance annuel moyen de 12,4 %. » Grâce à l’universalité croissante des services Cloud, ces terminaux pourront se connecter à Internet depuis n’importe où puis se connecter aux réseaux d’entreprise et y ramener on ne sait quoi...
Bien entendu, une force de travail mobile offre de nombreux avantages à l’entreprise, notamment une réduction des frais généraux, une productivité supérieure et un environnement de travail moins stressant. Mais, en 2012, les entreprises devront mettre en place une solide stratégie d’administration et de sécurité des équipements mobiles. En effet, les équipements nomades hors de vue ne doivent jamais pour autant être oubliés dans la mesure où les cybercriminels s’intéressent déjà à ces équipements qui représentent un vecteur facile pour pénétrer le réseau de l’entreprise. Une sécurité dédiée à un poste de travail ou à un serveur ne sera pas d’une grande utilité face à des utilisateurs qui cliquent sur un lien Web infecté depuis un équipement sur lequel sont stockés tous les certificats de connexion de l’entreprise.
Heureusement, les services Cloud sont en train de mûrir si bien qu’il est désormais possible de déployer et de mettre en œuvre la sécurité en toute fiabilité pour protéger à la fois les équipements et les réseaux auxquels ils se connectent. 2012 verra le développement d’une sécurité indépendante de tout site et de tout équipement, toujours actualisée et opérationnelle 24 heures sur 24, 7 jours sur 7, et ce quel que soit l’équipement ou son emplacement géographique. Nous pouvons également compter sur les fabricants pour tenir compte de l’importance de la sécurité pour les utilisateurs et intégrer ainsi des fonctionnalités de sécurité aux équipements eux-mêmes, ce qui offrira un avantage concurrentiel à leurs produits.
Prédiction #2 pour 2012 : l’externalisation de la sécurité de l’information

Le paysage actuel des menaces est tellement complexe et sophistiqué que, pour bon nombre d’entreprises, il n’est tout simplement pas rentable de tenter de gérer la sécurité à l’aide de leurs seules ressources internes. La sécurité dans le Cloud soulage l’entreprise de cette tâche à la fois fastidieuse et ardue en la déportant vers une plate-forme infiniment évolutive.
Une récente enquête du Ponemon Institute révèle que non seulement les entreprises ne maîtrisent pas les aspects importants de la sécurité dans le Cloud, mais qu’elles en sont également parfaitement conscientes. Plus de la moitié des personnes interrogées, soit 52 %, ont évalué la gestion globale de la sécurité du serveur Cloud par leur entreprise comme étant passable (27 %) et médiocre (25 %). 21% n’ont fait aucun commentaire quant à leur capacité à sécuriser leurs serveurs Cloud. Enfin, 42% des personnes interrogées s’inquiètent de ne pas savoir si les applications ou les données de leur entreprise ont été compromises par un port ouvert sur un serveur dans le Cloud.
La sécurité de l’information s’est traditionnellement centrée sur la fourniture de solutions pour résoudre les défis de sécurité, en mode réactif. La sécurité périmétrique, à savoir les firewalls, systèmes IDS/IPS et autres, constitue le cœur du modèle réactif. Ces dernières années, ce modèle s’est étendu à différentes formes de sécurité des points d’extrémité, de prévention de la perte des données, de gestion des équipements mobiles, de gestion SIEM, etc. Cependant, face à un paysage contemporain de menaces à la fois dynamiques et déterminées, les stratégies réactives ne suffisent plus et l’être humain reste le maillon le plus faible de la chaîne de la sécurité.
Pour aller de l’avant, nous avons tout d’abord besoin de faire un pas en arrière et de nous rappeler que l’objectif fondamental de la sécurité de l’information, de la gestion des risques et de la gouvernance est d’aligner les objectifs de l’informatique sur ceux de l’activité de l’entreprise pour protéger les actifs de cette dernière et créer une culture de la responsabilité vis-à-vis de l’information.
En 2012, les entreprises devront sélectionner beaucoup plus attentivement les ressources tierces tandis que les mesures de sécurité proactives représenteront une part importante des appels d’offre de solutions technologiques. De nombreuses entreprises ont rédigé des questionnaires détaillés pour déterminer non seulement les contrôles de sécurité technique déployés par les solutions d’un fournisseur, mais aussi la maturité du programme de sécurité de l’information de ce même fournisseur. Les entreprises qui passent des audits PCI et autres audits de conformité doivent évaluer la sécurité de leurs solutions tierces et de leurs pratiques internes. Il est donc dans leur intérêt d’examiner de près les programmes d’un fournisseur en matière de reprise après un sinistre, de continuité de l’activité, de réaction face à un incident de sécurité, de développement de politiques et de procédures, de cycle de développement logiciel et de sensibilisation à la sécurité de l’information.
N’hésitez pas à consulter des mandats de protection des données pour rédiger des questionnaires sur la sécurité destinés aux fournisseurs.

Prédiction #3 pour 2012 : le mythe de la menace persistante avancée (APT) sera pulvérisé
« Plein de bruit et de fureur pour rien ».
C’est ainsi que Shakespeare aurait pu décrire les fournisseurs de sécurité qui ont pris en marche le train des menaces APT. Le marché de la sécurité de l’information a traversé une phase au cours de laquelle certains fournisseurs ont cru que la tactique de la peur serait lucrative. Nous avons fort heureusement passé ce cap, mais il semble que nous soyons désormais revenus à l’ère de la peur, de l’incertitude et du doute.
En effet, cette année, les menaces APT ont été désignées comme responsables de presque toutes les fuites d’informations qui ont fait la une des médias et qui, selon les entreprises touchées, ont été menées par surprise. Pour 2012, j’appelle de tous mes vœux les entreprises à recouvrer leur bon sens collectif et à se rendre compte que la prévention des menaces APT est tout simplement la dernière solution miracle que certains fournisseurs veulent leur faire acquérir. En réalité, la plupart des attaques classées comme menaces APT (RSA, Sony, Epsilon, CitiBank et autres) sont dues à des erreurs humaines : des individus dupés par une attaque de phishing intelligente ou, dans le cas de RSA, pas si futée que cela.
Si vous souhaitez protéger votre entreprise contre les menaces « APT » en 2012, voici ce que vous devez faire :
* Concevez et déployez un programme d’éducation sérieux destiné aux utilisateurs. Rendez-le obligatoire pour tous les membres du personnel et remettez-le régulièrement à l’ordre du jour.
* Déployez des patches et des mises à niveau de manière plus opportune que par le passé. Soyez parfaitement conscients que les vulnérabilités non protégées sont une porte ouverte pour les pirates. Trouvez un système de gestion des vulnérabilités qui fera le dur labeur à votre place.
* Envisagez sérieusement de sous-traiter au moins certains éléments de votre infrastructure de sécurité. Sachez que les configurations locales auront moins d’incidences sur les vulnérabilités si les configurations de sécurité et la protection proactive sont gérées via le Cloud.
Dans un monde idéal, l’essentiel des points susmentionnés devrait faire partie des exigences de conformité (en particulier la composante éducation des utilisateurs) pour reléguer ou cantonner aux oubliettes les menaces APT, à l’instar de bien d’autres abréviations en trois lettres.
L’espoir fait vivre, mais n’oublions pas que l’espoir n’est pas une stratégie de sécurité.

Autour du même sujet