Comment traiter de manière économique le problème croissant de la conformité liée à la sécurité

Dans un climat de restriction des coûts informatiques, la plupart des budgets (y compris la sécurité informatique) fait l’objet de constantes révisions à la baisse. Pour compliquer les choses, le nombre d’exigences légales et celles liées à la conformité ne cesse de croître.

Cet environnement rend la tâche de l’administrateur ou du gestionnaire informatique d’autant plus difficile qu’ils doivent régulièrement composer avec une multitude de systèmes et d’environnements réseau différents.
Si aujourd’hui les environnements informatiques et les réseaux hétérogènes sont monnaie courante, et font partie intégrante de toute fonction liée à la sécurité informatique, il n’en reste pas moins que satisfaire aux besoins croissants en matière de mise en conformité de la sécurité, peut s’avérer un exercice coûteux.

Tout n’est-il pas question de processus d’audit ?
Pas forcément. La plupart des processus d’audit liés à la sécurité informatique se limitent souvent à une vérification standard, en particulier en raison de ressources nécessaires à la réalisation d’audits de sécurité personnalisés.
Bien évidemment, dans l’idéal, les procédures de test des audits informatiques seraient automatisés (afin d’économiser les ressources et donc les coûts) et ultra souples, pour pouvoir couvrir la plupart les types de tests, notamment les tests ciblés, externes, internes, aveugles et en double aveugle.
Les tests externes ciblent les serveurs et périphériques d’une entreprise visibles de l’extérieur, par exemple pour les serveurs de noms de domaine, les serveurs d’emails, les serveurs Web et les firewalls, l’objectif est de déterminer la possibilité d’une intrusion et l’ampleur que pourrait prendre l’attaque si un intrus parvenait à s’introduire dans le système.

Les tests aveugles, quant à eux, simulent les actions et procédures d’une attaque réelle en limitant au maximum les informations fournies au préalable à la personne ou l’équipe chargée de réaliser le test. Les tests en double aveugle ajoutent une étape supplémentaire au test aveugle. Dans le cas d’un test en double aveugle, seules une ou deux personnes au sein de l’entreprise sont mises au courant de la réalisation du test.
Les tests aveugles et en double aveugle (bien que souhaitables) peuvent se révéler coûteux, en grande partie en raison du coût relativement élevé du travail humain qu’ils requièrent.
Les tests informatiques (parfois appelés tests automatisés) sont considérablement moins coûteux, les coûts étant souvent fixes. Ainsi, quel que soit le nombre d’utilisations du système, les coûts restent sensiblement les mêmes. Le coût du travail humain, par contre, est généralement fixe et marginal, la partie marginale augmentant avec l’utilisation du système. Les professionnels de la sécurité informatique sont donc naturellement tenus par ces coûts fixes et marginaux, qui font si souvent l’objet de discussions entre collègues comptables des différents départements, y compris celui des opérations informatiques.
Malheureusement, le coût de la conformité (et je parle ici des règles imposées par les normes PCI DSS, Sarbanes-Oxley, Basel II, etc.) est en augmentation et, compte tenu de la nécessité de produire des rapports à tout moment, il peut facilement devenir difficile à contrôler si la main d’œuvre réellement nécessaire dépasse les prévisions.
La situation est d’autant plus complexe que les fonctions d’audit internes et externes de nombreuses entreprises deviennent de plus en plus techniques.
Cet aspect technique n’est en fait pas aussi positif qu’il pourrait sembler. En effet, les nouvelles recrues du secteur informatique doivent bien souvent s’impliquer davantage techniquement qu’ils ne le devraient, un investissement qui n’est pas nécessaire, tout comme il est inutile pour conduire une voiture de comprendre ce qui se passe sous le capot.

C’est à ce niveau que l’automatisation des firewalls et des systèmes de sécurité apparentés peut se révéler utile. En effet, si l’on retourne à l’essentiel, tous les processus d’audit peuvent être rapportés à un ensemble spécifique de questions. Bien sûr, la liste peut être longue, et peut impliquer plusieurs branches. Mais quoi qu’il en soit, la plupart du temps, il est possible de produire une liste.

 

Autour du même sujet