La sécurité de votre entreprise passe par un meilleur contrôle de la gestion des biens IT (ITAM)
L’annonce de la nouvelle vulnérabilité Windows BlueKeep est une opportunité excellente, quoiqu’assez effrayante, pour les entreprises de s’assurer qu’elles disposent d'informations complètes, précises et actuelles sur tous les biens IT utilisés par leurs collaborateurs et sous-traitants.
Voici un scénario qui pourrait se produire : M. Martin décide de travailler chez lui un soir. Au lieu d'emporter avec lui le matériel informatique le plus récent mis à disposition par l'entreprise, il utilise un autre ordinateur avec une version plus ancienne de Windows - ordinateur qui lui avait été confié quelques années auparavant et qu'il a "oublié" de rendre. Il s'avère que BlueKeep est conçu pour exploiter les failles de cette version de Windows, et d'ailleurs M. Martin envoie ensuite un e-mail vers le réseau de l'entreprise, qu'un autre collaborateur ouvre sans y faire vraiment attention. Et voilà : BlueKeep est désormais présent dans l'entreprise.Malheureusement, ce scénario est bien plus fréquent qu'on ne le pense. Sur le nombre total de biens dans l'entreprise (logiciels ou matériels), on estime que 30% sont des biens "fantômes"*. Ils ne sont ni comptabilisés de façon systématique, ni vérifiés pour savoir s'ils présentent un risque potentiel. L'ancien ordinateur de M. Martin est l'exemple parfait d'un bien qui s'est perdu dans ce Triangle des Bermudes de l'IT.Et si les entreprises s'intéressent aux dernières vulnérabilités comme BlueKeep, les statistiques montrent que la gestion quotidienne des biens n'assure pas le niveau de visibilité nécessaire pour bloquer en continu les menaces, qu'il s'agisse de ransomwares, de malwares sans fichier ou d'attaques DoS (déni de service). Voici quelques statistiques :- 25% des entreprises utilisent toujours des feuilles de calcul Excel pour le suivi des biens**.
- 56% ne vérifient l'endroit où se trouvent les biens qu'une seule fois par an, et 10% à 15% ne le vérifient même que tous les 5 ans***.
- Les équipes passent plus de 10 heures par semaine à résoudre les problèmes d'inexactitude des données**.
- Près de 66% des responsables IT n'ont pas d'enregistrement précis de leurs biens IT****
Renforcer la sécurité par la gestion des biens
Les entreprises doivent dès à présent prendre des mesures pour mieux identifier tous leurs biens IT, se libérer des méthodes archaïques et peu efficaces comme les feuilles de calcul, et mettre en place des stratégies de contrôle d'accès pour se protéger des vulnérabilités et des menaces.Le CIS (Centre de sécurité Internet) cite l'inventaire et le contrôle des biens (matériels et logiciels) comme les deux principaux contrôles de base recommandés. Une gestion centralisée et automatisée des biens IT peut répondre à ces recommandations, car elle permet de découvrir les périphériques "sauvages" utilisés, qu'ils aient été achetés en "shadow IT" ou qu'il s'agisse d'anciens périphériques non protégés par les logiciels de sécurité de l'entreprise. C'est indispensable pour éviter une fuite de données ou la contamination par une menace.Mettez en oeuvre les pratiques critiques suivantes pour une meilleure gestion des biens IT (ITAM) :
Suivre l'inventaire. Si une entreprise typique compte jusqu'à 30% de biens reconnus comme périphériques "fantômes", cela signifie qu'elle laisse près d'un tiers de ses biens représenter un risque. En effet, elle n'a pas mis en place d'outil de découverte centralisé et ciblé. On estime que 50% des entreprises utilisent plus d'une douzaine d'outils de découverte, ce qui contribue au chaos et fait inutilement perdre du temps aux équipes lorsqu'il s'agit de comprendre l'inventaire des biens. Au lieu de cela, les entreprises peuvent choisir une technologie capable de normaliser et de rapprocher les ensembles de données, pour fournir une seule source de données et garantir leur exactitude.Prendre le contrôle. L'arrivée d'un collaborateur dans l'entreprise (ou son départ) peut donner lieu à coûteux gaspillage de biens. Si l'entreprise ne possède pas de système moderne de gestion des biens IT (ITAM), les biens affectés à un nouveau collaborateur risquent de ne pas être correctement enregistrés ou suivis. A l'inverse, lors du départ d'un collaborateur, l'absence de moyens stricts de surveillance des biens signifie que des périphériques (bourrés de logiciels propriétaires) risquent de ne jamais être rendus. Votre solution :
- Intégrer la gestion des services IT (ITSM) et la gestion des biens IT (ITAM). Les entreprises peuvent garantir que, lorsqu'un ticket de centre de support est émis pour un nouveau collaborateur, tous les biens affectés à ce collaborateur sont bien enregistrés. De plus, si le rôle d'un collaborateur change ou s'il quitte l'entreprise, l'enregistrement de bien est mis à jour. Cela permet de récupérer plus facilement le bien pour un service futur.
- Suivre tout le cycle de vie. Une gestion efficace des biens aide le service IT à contrôler l'utilisation des biens logiciels et matériels tout au long de leur cycle de vie. Il est pratiquement impossible d'utiliser une feuille de calcul pour fournir aux collaborateurs des mises à jour des correctifs logiciels ou de nouvelles versions d'un programme. Pour assurer la productivité des collaborateurs et éviter les risques, une solution de gestion des biens peut tenir un registre précis de l'application des correctifs à tous les biens concernés.
Gérer les licences. Un mauvais suivi et une mauvaise gestion des biens peuvent entraîner une cascade de dépenses inutiles. Sans inventaire exact et à jour, les entreprises achètent des biens inutiles. Un système centralisé de gestion des biens IT (ITAM) doit être capable d'assurer une bonne visibilité des biens vieillissants qu'il faut mettre au rebut. Parfois, le coût des biens dépasse largement leur retour sur investissement (ROI) ou leur valeur d'amortissement. De plus, ces connaissances complètes permettent aux entreprises de planifier et de budgéter efficacement leurs nouveaux biens.
L'optimisation des licences logicielles est aussi l'un des gros avantages d'un système moderne de gestion des biens IT. C'est là qu'interviennent les audits : il ne s'agit pas de savoir si une entreprise va être auditée mais quand. Les logiciels qui ne sont pas correctement payés, maintenus ou dotés de licences représentent pour les entreprises un risque de non-conformité. Un système avancé de gestion des biens doit permettre à l'entreprise de négocier des contrats de licence plus favorables, éviter l'achat de licences inutiles, réduire les achats sauvages et éviter les amendes coûteuses imposées en cas d'échec à un audit.
Le secret : l'automatisation.
De nos jours, les collaborateurs travaillent à distance, utilisent des périphériques mobiles lorsqu'ils se déplacent et, parfois, utilisent un périphérique que la sécurité réseau ne contrôle d'aucune façon. Ainsi, ces périphériques disposent de logiciels vulnérables auxquels aucun correctif n'a été appliqué et de biens qui vont échouer aux tests stricts de conformité en cas d'audit.
Il existe une solution. En intégrant la gestion des biens et la gestion des services IT, le service IT dispose des bases nécessaires pour sécuriser les données et éviter les fuites, tout en gérant l'ensemble du cycle de vie d'un bien, de sa mise en circulation à sa récupération.
La gestion efficace des biens est essentielle à la réussite numérique d'une entreprise. Les tendances technologiques actuelles, comme la multiplication des périphériques IoT et les charges de traitement dans le Cloud compliquent la découverte de tous les outils qu'une entreprise utilise au quotidien. Pour contrôler cette complexité, il est judicieux de commencer par une gestion exhaustive des biens IT.
Sources :
* M. Day et S. Talbot, « Data Validation the Best Practice for Data Quality in Fixed Asset Management », (Livre blanc) Asset Management Resources
** Enterprise Management Associates, Optimizing IT for Financial Performance
*** EY, Navigating through the complexities of the fixed asset management function
**** Computer Weekly, Embarking on a voyage of asset discovery