Réduire les risques : arrêtons l’intimidation, revenons aux fondamentaux

Depuis quelque temps, le petit monde de la sécurité informatique affiche une mentalité pour le moins défensive. Les failles révélées, associées au solide régime à base de « réparations à la va-vite » préconisées par les fournisseurs de solutions de sécurité, nous ont éprouvés et quelque peu désabusés.

Malheureusement, avec l’explosion du Cloud Computing et la mobilité, les professionnels de la sécurité se sentent encore plus en difficulté.

De nombreux fournisseurs tentent d’attirer l’attention des professionnels de la sécurité et des chefs d’entreprise avec un discours alarmiste, en leur annonçant des conséquences néfastes s’ils n’achètent pas le gadget de sécurité dernier cri. Je ne suis pas convaincu du bien-fondé de cette approche, et me réjouis de ne pas être un cas isolé. Récemment, Eric Knorr, rédacteur en chef d’InfoWorld, s’est en effet dit convaincu qu’il était temps que l’industrie de la sécurité renonce aux « tactiques d’intimidation et aux solutions rapides » et qu’elle ferait mieux d’aider les entreprises à mettre en place des bonnes pratiques éprouvées dans son domaine de spécialité pour les aider à réduire les risques encourus.

Voici quelques mesures simples qui permettront d’atténuer les risques que peut encourir une infrastructure informatique :

1. Définir le risque : En identifiant les menaces les plus dangereuses pour l’entreprise, les éditeurs de solutions de sécurité peuvent faire en sorte qu’un minimum de ressources informatiques sont utilisées avec un impact maximum en concentrant uniquement leurs efforts sur les actifs les plus exposés.

2. Appliquer les fondamentaux : Une fois que les actifs critiques et les seuils de risque ont été identifiés, les équipes de sécurité peuvent mettre en œuvre un programme permettant d’appliquer les bonnes pratiques de sécurité. Une enquête a montré que l’absence d’outils de sécurité élémentaires, se traduisant par des mots de passe peu fiables ou des erreurs de configuration de serveur, est à l’origine de nombreuses failles de données.

3. Maintenir les risques aux niveaux souhaités : Une fois en place, les bonnes pratiques et les contrôles de sécurité doivent être entretenus afin de maintenir au plus bas les risques encourus par les entreprises. Les comptes-rendus de risques et les évaluations de conformité planifiés, ainsi que l’automatisation des flux de travail, peuvent également aider sensiblement les équipes à atteindre et maintenir un « état de sécurité et de conformité permanent ».

Il est fort souhaitable de revenir aux fondamentaux en matière de sécurité. En concentrant les efforts des équipes sur la réduction des risques aux endroits primordiaux, on peut atteindre ces objectifs tout en tirant le meilleur parti de ses ressources informatiques surchargées de travail. La stratégie de limitation des risques ne doit pas s’appuyer sur une panoplie d’outils de sécurité censés combattre toutes les menaces potentielles. Cela ne ferait que compliquer davantage la gestion quotidienne de son environnement et ouvrir la porte aux erreurs humaines, ce qui suffit à provoquer des failles et des problèmes de conformité.

Il convient a contrario de travailler en étroite collaboration avec l’entreprise pour identifier les menaces qui pèsent le plus sur ses objectifs opérationnels, puis de mettre en place une gouvernance de la sécurité qui insistera sur les fondamentaux, tels que la protection des données les plus sensibles en surveillant les changements et les activités des utilisateurs suspects au niveau des fichiers et des systèmes où résident les données.
Enfin, il faut vérifier que le programme mis en place permet de maintenir un « état de sécurité et de conformité permanent » au moyen d’évaluations planifiées de la conformité ; elle pourra ainsi mesurer et obtenir de précieux retours d’information concernant l’efficacité globale du programme de sécurité.

Lorsque les équipes de sécurité se concentrent sur la réduction des risques pour l’entreprise, les résultats obtenus sont meilleurs à condition que de bonnes pratiques de sécurité soient constamment appliquées.