Réduire les risques : arrêtons l’intimidation, revenons aux fondamentaux
Depuis quelque temps, le petit monde de la sécurité informatique affiche une mentalité pour le moins défensive. Les failles révélées, associées au solide régime à base de « réparations à la va-vite » préconisées par les fournisseurs de solutions de sécurité, nous ont éprouvés et quelque peu désabusés.
Malheureusement, avec l’explosion du Cloud Computing et la mobilité, les professionnels de la sécurité se sentent encore plus en difficulté.
De nombreux fournisseurs tentent d’attirer l’attention
des professionnels de la sécurité et des chefs d’entreprise avec un discours
alarmiste, en leur annonçant des conséquences néfastes s’ils n’achètent pas le gadget
de sécurité dernier cri. Je ne suis pas convaincu du bien-fondé de cette approche,
et me réjouis de ne pas être un cas isolé. Récemment, Eric Knorr, rédacteur en
chef d’InfoWorld, s’est en effet dit convaincu qu’il était temps que l’industrie
de la sécurité renonce aux « tactiques
d’intimidation et aux solutions rapides » et qu’elle ferait mieux d’aider
les entreprises à mettre en place des bonnes pratiques éprouvées dans son domaine
de spécialité pour les aider à réduire les risques encourus.
Voici quelques mesures simples qui permettront
d’atténuer les risques que peut encourir une infrastructure informatique :
1. Définir le risque : En identifiant les menaces les plus dangereuses pour l’entreprise, les éditeurs de solutions de sécurité peuvent faire en sorte qu’un minimum de ressources informatiques sont utilisées avec un impact maximum en concentrant uniquement leurs efforts sur les actifs les plus exposés.
2. Appliquer
les fondamentaux : Une fois que les actifs critiques et les seuils de
risque ont été identifiés, les équipes de sécurité peuvent mettre en œuvre un
programme permettant d’appliquer les bonnes pratiques de sécurité. Une enquête a montré que l’absence
d’outils de sécurité élémentaires, se traduisant par des mots de passe peu fiables ou des erreurs de
configuration de serveur, est à l’origine de nombreuses failles de données.
3. Maintenir
les risques aux niveaux souhaités :
Une fois en place, les bonnes pratiques et les contrôles de sécurité doivent
être entretenus afin de maintenir au
plus bas les risques encourus par les entreprises. Les comptes-rendus de
risques et les évaluations de conformité planifiés, ainsi que l’automatisation
des flux de travail, peuvent également aider sensiblement les équipes à atteindre
et maintenir un « état de sécurité et de conformité permanent ».
Il est fort souhaitable de revenir aux fondamentaux en matière de sécurité. En concentrant les efforts des équipes sur la réduction des risques aux endroits primordiaux, on peut atteindre ces objectifs tout en tirant le meilleur parti de ses ressources informatiques surchargées de travail. La stratégie de limitation des risques ne doit pas s’appuyer sur une panoplie d’outils de sécurité censés combattre toutes les menaces potentielles. Cela ne ferait que compliquer davantage la gestion quotidienne de son environnement et ouvrir la porte aux erreurs humaines, ce qui suffit à provoquer des failles et des problèmes de conformité.
Il convient a contrario de travailler en étroite collaboration avec l’entreprise
pour identifier les menaces qui pèsent le plus sur ses objectifs opérationnels,
puis de mettre en place une gouvernance de la sécurité qui insistera sur les fondamentaux,
tels que la protection des données les plus sensibles en surveillant les
changements et les activités des utilisateurs suspects au niveau des fichiers
et des systèmes où résident les données.
Enfin, il faut vérifier que le programme mis en
place permet de maintenir un « état de sécurité et de conformité permanent »
au moyen d’évaluations planifiées de la conformité ; elle pourra ainsi mesurer
et obtenir de précieux retours d’information concernant l’efficacité globale du
programme de sécurité.
Lorsque les équipes de sécurité se concentrent sur la réduction des risques pour l’entreprise, les résultats obtenus sont meilleurs à condition que de bonnes pratiques de sécurité soient constamment appliquées.