En 2012, la sécurité sera la priorité #1 du Cloud mobile
La sécurité évolue autour de trois développements majeurs des technologies de l’information et tient un rôle plus important que celui escompté en devenant un élément clé de la souplesse de l’entreprise et de la capacité de cette dernière à adopter de nouvelles technologies sans délai.
Différents thèmes qui ont commencé à faire parler d’eux en 2010 font désormais en 2011 l’objet d’une véritable attention pour la planification stratégique de l’activité et des ressources informatiques, notamment le Cloud computing et l’utilisation des équipements mobiles. À l’instar de nombreux autres processus évolutifs, des thèmes nouveaux comme la sécurité n’ont pas été immédiatement projetés sur le devant de la scène. Mais la sécurité joue un rôle de plus en plus important pour déployer la technologie. Peu importe l’aspect révolutionnaire ou avant-gardiste d’un nouveau paradigme informatique: s’il ouvre la porte à des utilisateurs malveillants qui pourront ensuite s’introduire dans le réseau de votre entreprise, sa valeur pour votre activité est inférieure à zéro.
Prédiction
#1 pour 2012 : le Cloud computing propulsera la (l’in)sécurité
des équipements mobiles vers de nouvelles sphères
La
prolifération des équipements mobiles, principalement les
smartphones et les tablettes, à travers le monde de l’entreprise
américain au cours de l’année dernière est tout simplement
époustouflante et, pour les professionnels de l’informatique, et
plus particulièrement ceux en charge de la sécurité, elle n’est
rien de moins qu’un cauchemar. Et de nouvelles plates-formes, de
nouveaux équipements et de nouveaux formats continueront de pousser
comme des champignons à travers le monde.
Selon l’analyste en chef
Pauline Trotter qui travaille pour Ovum, « le
marché des smartphones d’entreprise connaîtra une croissance
sensible au cours des cinq prochaines années, avec 26,8 millions
d’équipements opérationnels fin 2011 et 54 millions de
terminaux qui seront utilisés en 2016, soit un taux de croissance
annuel moyen de 12,4 %. »
Grâce à l’universalité croissante des services Cloud, ces
terminaux pourront se connecter à Internet depuis n’importe où
puis se connecter aux réseaux d’entreprise et y ramener on ne sait
quoi...
Bien
entendu, une force de travail mobile offre de nombreux avantages à
l’entreprise, notamment une réduction des frais généraux, une
productivité supérieure et un environnement de travail moins
stressant. Mais, en 2012, les entreprises devront mettre en place une
solide stratégie d’administration et de sécurité des équipements
mobiles. En effet, les équipements nomades hors de vue ne doivent
jamais pour autant être oubliés dans la mesure où les
cybercriminels s’intéressent déjà à ces équipements qui
représentent un vecteur facile pour pénétrer le réseau de
l’entreprise. Une sécurité dédiée à un poste de travail ou à
un serveur ne sera pas d’une grande utilité face à des
utilisateurs qui cliquent sur un lien Web infecté depuis un
équipement sur lequel sont stockés tous les certificats de
connexion de l’entreprise.
Heureusement,
les services Cloud sont en train de mûrir si bien qu’il est
désormais possible de déployer et de mettre en œuvre la sécurité
en toute fiabilité pour protéger à la fois les équipements et les
réseaux auxquels ils se connectent. 2012 verra le développement
d’une sécurité indépendante de tout site et de tout équipement,
toujours actualisée et opérationnelle 24 heures sur 24,
7 jours sur 7, et ce quel que soit l’équipement ou son
emplacement géographique. Nous pouvons également compter sur les
fabricants pour tenir compte de l’importance de la sécurité pour
les utilisateurs et intégrer ainsi des fonctionnalités de sécurité
aux équipements eux-mêmes, ce qui offrira un avantage concurrentiel
à leurs produits.
Prédiction
#2 pour 2012 : l’externalisation de la sécurité de
l’information
Le
paysage actuel des menaces est tellement complexe et sophistiqué
que, pour bon nombre d’entreprises, il n’est tout simplement pas
rentable de tenter de gérer la sécurité à l’aide de leurs
seules ressources internes. La sécurité dans le Cloud soulage
l’entreprise de cette tâche à la fois fastidieuse et ardue en la
déportant vers une plate-forme infiniment évolutive.
Une
récente enquête du Ponemon
Institute
révèle que non seulement les entreprises ne maîtrisent pas les
aspects importants de la sécurité dans le Cloud, mais qu’elles en
sont également parfaitement conscientes. Plus de la moitié des
personnes interrogées, soit 52 %, ont évalué la gestion
globale de la sécurité du serveur Cloud par leur entreprise comme
étant passable (27 %) et médiocre (25 %). 21% n’ont
fait aucun commentaire quant à leur capacité à sécuriser leurs
serveurs Cloud. Enfin, 42% des personnes interrogées s’inquiètent
de ne pas savoir si les applications ou les données de leur
entreprise ont été compromises par un port ouvert sur un serveur
dans le Cloud.
La
sécurité de l’information s’est traditionnellement centrée sur
la fourniture de solutions pour résoudre les défis de sécurité,
en mode réactif. La sécurité périmétrique, à savoir les
firewalls, systèmes IDS/IPS et autres, constitue le cœur du modèle
réactif. Ces dernières années, ce modèle s’est étendu à
différentes formes de sécurité des points d’extrémité, de
prévention de la perte des données, de gestion des équipements
mobiles, de gestion SIEM, etc. Cependant, face à un paysage
contemporain de menaces à la fois dynamiques et déterminées, les
stratégies réactives ne suffisent plus et l’être humain reste le
maillon le plus faible de la chaîne de la sécurité.
Pour
aller de l’avant, nous avons tout d’abord besoin de faire un pas
en arrière et de nous rappeler que l’objectif fondamental de la
sécurité de l’information, de la gestion des risques et de la
gouvernance est d’aligner les objectifs de l’informatique sur
ceux de l’activité de l’entreprise pour protéger les actifs de
cette dernière et créer une culture de la responsabilité vis-à-vis
de l’information.
En
2012, les entreprises devront sélectionner beaucoup plus
attentivement les ressources tierces tandis que les mesures de
sécurité proactives représenteront une part importante des appels
d’offre de solutions technologiques. De nombreuses entreprises ont
rédigé des questionnaires détaillés pour déterminer non
seulement les contrôles de sécurité technique déployés par les
solutions d’un fournisseur, mais aussi la maturité du programme de
sécurité de l’information de ce même fournisseur. Les
entreprises qui passent des audits PCI et autres audits de conformité
doivent évaluer la sécurité de leurs solutions tierces et de leurs
pratiques internes. Il est donc dans leur intérêt d’examiner de
près les programmes d’un fournisseur en matière de reprise après
un sinistre, de continuité de l’activité, de réaction face à un
incident de sécurité, de développement de politiques et de
procédures, de cycle de développement logiciel et de
sensibilisation à la sécurité de l’information.
N’hésitez
pas à consulter des mandats de protection des données pour rédiger
des questionnaires sur la sécurité destinés aux fournisseurs.
« Plein de bruit et de fureur pour rien ». C’est ainsi que Shakespeare aurait pu décrire les fournisseurs de sécurité qui ont pris en marche le train des menaces APT. Le marché de la sécurité de l’information a traversé une phase au cours de laquelle certains fournisseurs ont cru que la tactique de la peur serait lucrative. Nous avons fort heureusement passé ce cap, mais il semble que nous soyons désormais revenus à l’ère de la peur, de l’incertitude et du doute.
En effet, cette année, les menaces APT ont été désignées comme responsables de presque toutes les fuites d’informations qui ont fait la une des médias et qui, selon les entreprises touchées, ont été menées par surprise. Pour 2012, j’appelle de tous mes vœux les entreprises à recouvrer leur bon sens collectif et à se rendre compte que la prévention des menaces APT est tout simplement la dernière solution miracle que certains fournisseurs veulent leur faire acquérir. En réalité, la plupart des attaques classées comme menaces APT (RSA, Sony, Epsilon, CitiBank et autres) sont dues à des erreurs humaines : des individus dupés par une attaque de phishing intelligente ou, dans le cas de RSA, pas si futée que cela.
Si vous souhaitez protéger votre entreprise contre les menaces « APT » en 2012, voici ce que vous devez faire :
* Concevez et déployez un programme d’éducation sérieux destiné aux utilisateurs. Rendez-le obligatoire pour tous les membres du personnel et remettez-le régulièrement à l’ordre du jour.
* Déployez des patches et des mises à niveau de manière plus opportune que par le passé. Soyez parfaitement conscients que les vulnérabilités non protégées sont une porte ouverte pour les pirates. Trouvez un système de gestion des vulnérabilités qui fera le dur labeur à votre place.
* Envisagez sérieusement de sous-traiter au moins certains éléments de votre infrastructure de sécurité. Sachez que les configurations locales auront moins d’incidences sur les vulnérabilités si les configurations de sécurité et la protection proactive sont gérées via le Cloud.
Dans un monde idéal, l’essentiel des points susmentionnés devrait faire partie des exigences de conformité (en particulier la composante éducation des utilisateurs) pour reléguer ou cantonner aux oubliettes les menaces APT, à l’instar de bien d’autres abréviations en trois lettres.
L’espoir fait vivre, mais n’oublions pas que l’espoir n’est pas une stratégie de sécurité.