7 questions pour améliorer la sécurité de votre entreprise

7 questions pour améliorer la sécurité de votre entreprise

Sommaire

Face à la crise économique, à la montée en puissance des réseaux sociaux et du Cloud computing, la question de la sécurité des systèmes d’information revient avec force sur le devant de la scène. Où faut-il porter son attention ? Jusqu’où aller afin d’améliorer la sécurité ? Des experts répondent.

1 – Devez-vous surveiller vos employés de près ?

Dans une époque économiquement difficile, les menaces internes augmentent les risques pour la sécurité IT. Jusqu’où les responsables des technologies de l’information doivent-ils aller pour protéger les données de leurs entreprises ?
7-questions-securite-entreprise surveillance informatique
Le risque venu de l’intérieur a toujours existé, mais il est d’autant plus important dans une ère de bouleversements et d’incertitudes économiques. 

C’est un point qui a été mis en relief par un récent sondage de l’institut Ponemon portant sur 945 personnes ayant été licenciées ou ayant quitté leur emploi en 2008 :

  • 59 % admettent avoir volé des informations à leur entreprise
  • 67 % admettent avoir utilisé des informations confidentielles de leur précédente entreprise pour obtenir un nouvel emploi.

1.1 – Trouver le bon équilibre

Jusqu’où les responsables des technologies de l’information doivent-ils aller pour protéger les données de leurs entreprises ? « Il faut un équilibre », répond Max Reissmueller, Responsable des opérations IT et de l’infrastructure chez Pioneer Electronics. « Je n’aimerais pas que des responsables viennent me demander de garder un oeil sur un employé en particulier, afin de savoir ce qu’il fait à chaque minute. »

Parallèlement, la société Pionneer est déterminée à protéger sa propriété intellectuelle, ses listes de clients, et ses autres données sensibles. « Je ne veux pas qu’un employé mécontent essaie de voler des informations. », reconnaît Max Reissmueller. C’est la raison principale pour laquelle la firme a installé un outil de contrôle d’accès au réseau pour surveiller l’accès aux « joyaux de la couronne », et savoir si les employés essayent d’outrepasser leurs droits.

1.2 – Détecter les comportements suspects

A l’aide d’un commutateur ConSentry Networks et d’un contrôle d’accès au réseau, Pioneer surveillera les comportements qui pourraient se révéler suspects afin de les bloquer. « Mais je ne veux pas que mon personnel de sécurité se transforme en Big Brother. », poursuit Max Reissmueller. 

En pratique, et comme d’habitude, il suffit d’un cas de fuite de données pour obliger une organisation à renforcer sa surveillance : C’est ce qui est arrivé à l’Université d’Arizona. Celle-ci a du faire des annonces officielles à propos des données personnelles qui avaient été exposées au public, commente Eric Case, en charge de la sécurité de l’information à l’université.

1.3 – Ne pas oublier de données sensibles

C’est ce qui a poussé le bureau d’information et de sécurité de l’Université à donner le coup d’envoi d’un programme qui consistait notamment à vérifier que le personnel de la faculté n’abandonnait ou n’oubliait pas de données sensibles dans ses ordinateurs. 

protection des données

Afin de s’en assurer, l’Université a déployé un logiciel gratuit de prévention des fuites de données appelé Spider. Cet outil peut vérifier une machine cible et voir si elle contient des données qui ne devraient pas y être. Il peut alors les supprimer ou les déplacer vers un serveur plus sécurisé.

Bien que le personnel de sécurité ait expliqué en détail ses objectifs, « Une partie des gens étaient très inquiets que nous ayons accès à leurs données », avait expliqué Eric Case lorsqu’il avait abordé le sujet durant la récente conférence Infosec World. « Ils étaient fâchés. » 

« Mais après avoir rassuré les gens, la prévention des fuites de données devait prendre effet au plus vite car nous savions que nous avions des données éparpillées partout », continue Éric Case. « Avons-nous réduit les risques ? Oui, beaucoup. »

1.4 – Des règlements liés au contexte médical

Rick Haverty, le Directeur de l’infrastructure des systèmes d’informations au centre médical de l’Université de Rochester à New York, explique de son côté que son organisation est soumise à des lois et des réglementations particulières en ce qui concerne les informations de soin des patients. « Nous devons nous rendre compte quand il apparaît qu’un employé pourrait ne pas avoir respecté les règles. L’une de nos préoccupations est qu’un employé jette un coup d’oeil sans raisons au dossier médical de quelqu’un d’autre ».

«Des gens ont été licenciés pour cette raison», précise-t-il, ajoutant que l’enquête commence souvent par des rumeurs à propos de la situation médicale d’un patient. L’inspection débute alors par l’étude des journaux d’historiques afin de déterminer s’il n’y a pas eu d’accès inapproprié aux dossiers. 

L’analyste du Gartner John Pescatore estime que le mot-clé est de savoir jusqu’où il faut surveiller les employés : « Il y a assurément une nécessité de surveiller les fuites de données critiques pour l’entreprise dont les employés sont responsables. Il y a aussi un besoin de savoir ce qui arrive dans leurs ordinateurs pour se protéger de codes malveillants. », commente-t-il. 

« Cependant, en pratique, il est moins urgent de surveiller chaque action entreprise par un utilisateur, ou de lui interdire l’accès à tout site non relié au travail, de l’empêcher d’utiliser son ordinateur de bureau pour toute autre chose que le travail, ou d’utiliser son ordinateur personnel pour le travail. » 

L’évolution vers un mélange bureau/maison pour travailler est en cours, et « la sécurité ne peut pas stopper cette évolution, pas plus qu’elle n’avait arrêté internet, le Wifi ou d’autres évolutions par le passé. », termine-t-il.

2 – Vaut-il mieux choisir un seul vendeur de sécurité stratégique, ou plutôt rassembler les meilleures solutions de différents constructeurs ?

Un grand débat émerge alors que Cisco et d’autres visent à s’approprier le domaine de la sécurité. Est-il préférable de choisir un seul vendeur de sécurité stratégique, ou vaut-il mieux assembler les meilleures solutions proposées par différents constructeurs ?

Le grand débat ces derniers temps est de savoir s’il est préférable de choisir un vendeur de sécurité stratégique qui apporte la majorité des produits de sécurité et de services dont l’entreprise pourrait avoir besoin, ou d’opter plutôt pour différents produits spécifiques, ce qui inclut ceux proposés par des starts-up ?

2.1 – Pas d’avantage en termes d’intégration

« Ma préférence irait à un seul vendeur stratégique. », avance Rick Haverty, directeur de l’infrastructure des systèmes d’informations au centre médical de l’Université de Rochester. Cisco est le vendeur réseau stratégique pour l’URMC (Centre Médical de l’Université de Rochester), qui vient de retenir IronPort, une appliance de filtrage Web, et filiale de Cisco. 

Mais il ajoute ne pas avoir encore vu l’avantage qu’avoir un vendeur unique est supposé apporter en termes d’intégration des produits, comme une console de gestion commune par exemple. « Ils n’en sont tout simplement pas encore là », estime-t-il.

2.2 – Des solutions de chiffrement spécialisées

Quoi qu’il en soit, l’URMC cherche aussi des produits spécialisés afin de pourvoir aux besoins de l’organisation, se tournant vers des vendeurs de sécurité tels que Voltage pour le chiffrement des e-mails avec ses partenaires commerciaux, ou Check Point pour son chiffrement PointSec complet du disque dur des postes de travail. Rick Haverty considère n’avoir à faire que des choix pragmatiques pour la sécurité de l’entreprise, tout simplement. 

7-questions-securite-entreprise chiffrement donnee

Autre cas, Brad Blake, le directeur IT du centre médical de Boston, annonce que le point de vue de son employeur, est de prendre les meilleurs produits spécialisés pour les applications cliniques, mais de préférer un vendeur stratégique (ou deux) en ce qui concerne la sécurité.

2.3 – Un budget allégé ?

La raison principale selon lui est que l’approche d’un vendeur stratégique de sécurité peut aider à réduire le budget, et donne l’avantage d’une plateforme de gestion commune.

Le centre médical de Boston considère que McAfee est un vendeur stratégique car il utilise son large portefeuille de produits de sécurité et sa console ePolicy Orchestrator pour les piloter. 

ArcSight est aussi considéré comme un vendeur critique car sa plateforme de gestion de la sécurité de l’information peut combiner les journaux d’historiques en provenance de plusieurs sources afin de les analyser.

2.4 – Demande à être convaincu

Bien que le centre Médical de Boston ressemble un peu à un « Magasin Cisco », le fournisseur de soins n’a pas été assez impressionné jusqu’ici pour adopter jusqu’aux produits sécurité Cisco.

George Japak, patron d’ICSA Labs, qui teste une gamme variée de produits de sécurité, déclare que Cisco empile les couches de pare-feu et d’antivirus à l’intérieur des commutateurs et des routeurs. De plus en plus, les plus grosses entreprises dépendantes des équipements Cisco choisissent ce constructeur de manière à réduire la complexité de leurs réseaux.

2.5 – Toujours garder une alternative

Mais il soutient qu’on ne peut pas donner de passe-droits aux vendeurs stratégiques de sécurité et qu’ils doivent rester responsables de toutes les nouvelles fonctionnalités de sécurité qu’on leur confie. « Vous pouvez avoir un vendeur principal de sécurité tout en en gardant d’autres dans votre manche. », résume George Japak.

Gaby Dowling, responsable de la sécurité IT pour le cabinet d’avocats Proskauer Rose, pense qu’il n’est pas logique de considérer quoi que ce soit comme étant « stratégique » si le vendeur et le produit ne peuvent s’adapter rapidement à un environnement de menaces évolutif. « Juste le fait que différents produits viennent du même vendeur ne veut pas forcément dire qu’ils vont bien s’intégrer, selon mon expérience. », conclut-elle.

3 – A quel point devons-nous avoir peur des statistiques de sécurité ?

Les fournisseurs de sécurité ne sont pas avares de statistiques sur les attaques et les risques. Il nous en arrive tous les jours, toutes plus inquiétantes les unes que les autres. Les experts se disent sceptiques, bien qu’ils avouent les intégrer dans les tendances générales.

Saviez-vous que le nombre de sites diffusant des codes malveillants pour voler des mots de passe a été de 31 173 en Décembre 2008, record jamais atteint par le passé, selon la coalition APWG (l’ancien groupe de travail anti-phishing) ? 

Ou que le coût des vols de données a atteint une moyenne de 6,6 millions de dollars par violation l’année dernière (contre 6,3 millions de dollars en 2007), selon l’institut Ponemon ? 

Ou que de 3 % à 5 % des stations de travail ou serveurs d’entreprise, principalement ceux sous Windows, sont susceptibles d’être infectés par du code « Botnet », selon la firme de sécurité Damballa qui se base sur une analyse du trafic de ses clients ?

Les rapports sont pleins de telles statistiques en provenance d’une variété de sources, mais les responsables IT s’en inquiètent-ils vraiment ?

3.1 – On veut nous mener vers un produit

« Nous y faisons tous un peu attention. », déclare Jeff Keahey, PDG de Wardlaw Claims. « Mais nous nous méfions de leur partialité. » En général, on a souvent le sentiment que quelqu’un essaye vraiment de nous « mener vers un certain produit » et « beaucoup de statistiques sont accompagnées d’une publicité », remarque-t-il.

Bien qu’il reste méfiant, Jeffn Keahey dit regarder les statistiques de sécurité comme une indication générale des tendances, et qu’elles ont peut-être une influence sur les décisions qu’il doit prendre pour contrer les menaces de sécurité.

3.2 – Avoir ses propres chiffres internes

Cloudmark, un vendeur qui fabrique des produits de sécurisation des e-mails, a des doutes quant à l’importance réelle des statistiques de sécurité qui apparaissent dans les médias : « Une organisation devrait se concentrer bien plus sur ses chiffres internes plutôt que sur des statistiques externes. », pense Adam O’Donnell, Directeur des technologies émergentes chez Cloudmark.

Cependant, Unisys, un intégrateur de systèmes, est d’un autre avis. Depuis 2 ans, Unisys réalise tous les 6 mois un sondage portant sur près de 14 000 personnes dans 13 pays, leur posant 8 questions à propos de leur perception de la sécurité personnelle, financière et du secteur public en ligne. Unisys affirme que les entreprises qui s’intéressent à ce que pensent les consommateurs, doivent prendre en compte ces statistiques.

3.3 – En France, personne ne s’inquiète

« C’est fascinant de voir à quel point les statistiques sont différentes selon les pays et les populations., explique Tim Kelleher. « Le monde n’est pas homogène. En France, personne ne s’inquiète vraiment, mais au Brésil et dans certains pays asiatiques, les gens ne se sentent pas en sécurité quand ils sont sur internet. Les États-Unis sont entre les deux. »

Tim Kelleher en retient que les tendances statistiques générales sont plus significatives que les chiffres brandis sur le moment.

4 – Les questions de sécurité retardent-elles l’adoption du Cloud computing ?

Il semble y avoir consensus sur cette question. On attend des fournisseurs de Cloud computing une plus grande transparence et de meilleures garanties quant à leurs offres.

7-questions-securite-entreprise cloud computing

« Oui, la sécurité est l’un des problèmes qui ralentit l’adoption du Cloud computing. », affirme Eric Mandel, PDG de BlackMesh. « L’une des plus grosses inquiétudes à propos du Cloud computing est qu’une fois que vous avez déplacé vos informations dans le Cloud, vous en perdez le contrôle. Le Cloud donne accès aux données, mais vous n’avez aucun moyen de vous assurer que quelqu’un d’autre n’y a pas accès aussi. Comment pouvez-vous vous protéger d’une faille de sécurité quelque part dans le Cloud ? »

4.1 – Un sentiment de risque accru

« Les questions de sécurité vont continuer à laisser certaines entreprises en dehors du Cloud », précise Eric Mandel.

Symplified, une start-up fournissant un service de sécurité basé dans le Cloud qui étend les contrôles d’accès, considère aussi qu’il y a un fort sentiment que le risque est accru.

« Nous estimons qu’il faut se concentrer sur les droits d’accès des utilisateurs (« credentials »). Ce sont les clés du royaume et nous nous rendons compte que les entreprises répugnent à mettre ces clés dans le Cloud », remarque Eric Olden, PDG de Symplified. Il note aussi que les fournisseurs de Cloud serviraient leur propre cause en offrant plus de « transparence » sur ce qui se passe dans l’environnement du Cloud Computing.

L’analyste Eric Maiwald du Burton Group soutient aussi que les vendeurs de Cloud devraient être plus ouverts à propos de leurs pratiques de sécurité. Une longue liste de questions de sécurité devrait être résolue avant que les entreprises ne se lancent dans le Cloud Computing, mêmes si elles voient les réduction de coûts comme le premier moteur.

Ces questions incluent notamment :

  • La façon dont les données sont chiffrées et stockées,
  • Si l’e-discovery peut être réalisé en cas de besoin,
  • Les contrôles existants,
  • Si le fournisseur de Cloud a passé un audit SAS-70 (ce qui est le cas de Google par exemple)

4.2 – Les fournisseurs en cause

Dick Mackey, analyste chez consultancy SystemExperts, pense que le Cloud Computing est « un choix difficile pour une entreprise désirant utiliser cette plateforme pour protéger des informations sensibles. » à cause de « l’incapacité ou de la réticence des fournisseurs de Cloud à donner des garanties à propos des contrôles qui encadrent les ressources informatiques. »

Il soutient aussi « qu’il serait difficile voire impossible d’assurer une conformité de type PCI (Payment Card Industry), demandée par les organismes de cartes bancaires Visa et Mastercard, dans un Cloud proposé par un fournisseur de services. Les exigences sont fortes et touchent alors d’une part à la compréhension d’un système précis et d’une configuration réseau, et d’autre part au contrôle de l’accès aux systèmes et aux données issues des cartes bancaires. »

4.3 – Une alliance pour la sécurité du Cloud

Mais les vendeurs n’attendent pas les bras croisés. Ils ont récemment formés une Alliance de Sécurité du Cloud pour traiter précisément les inquiétudes que les professionnels de la sécurité IT disent avoir.

5 – L’informatique mobile est-elle le talon d’Achille de votre politique de sécurité ?

La plupart des entreprises aujourd’hui arrivent à bien sécuriser leurs ordinateurs portables. Mais la question des smartphones est bien plus épineuse.

L’informatique mobile, depuis l’ordinateur portable jusqu’aux myriades d’engins qui tiennent dans la main (smartphones, blackberries, iPhones, clés USB et PDA), peut sans aucun doute être considérée comme le maillon faible en termes de sécurité, remarque Jonathan Gossels, analyste chez consultancy SystemExperts.

Bien que pas tout à fait disposées à la considérer comme aussi dévastatrice que la blessure d’Achille durant la guerre de Troie, beaucoup d’organisations reconnaissent l’informatique mobile comme leur plus gros défi d’un point de vue sécurité.

5.1 – Chiffrer les données

« Les IPhones, Blackberries et Treos sont autant de nouveaux problèmes pour nous. », admet Doug Miller, Directeur IT chez Armanino McKenna LLP.

La firme sécurise près de 200 ordinateurs portables avec des produits tels que PointSec, DeviceLock et TruCrypt. Ces solutions renforcent le chiffrement des données, empêchent de graver des Cds, et restreignent les utilisateurs aux seules unités de stockage amovibles spécifiquement contrôlées Flexar. Mais la sécurité n’est pas aussi simple avec les smartphones.

Ceux-ci appartiennent à des employés qui les utilisent aussi bien pour des raisons personnelles que de travail, fait remarquer Doug Miller.

5.2 – Les smartphones sont un bon outil de travail

« C’est leur téléphone, et le problème est que c’est un bon outil pour nos employés. », continue Doug Miller. Même s’il existe des possibilités d’effacements à distance ou de de protection par des mots de passe, un niveau similaire de sécurité logicielle que sur les PC portables ne semble pas encore être disponible sur les smartphones.

Brian Hughes, le vice-président et Responsable PC à la First National Bank de Pennsylvanie s’inquiète aussi des téléphones disposant d’un appareil photo.

5.3 – Le sans fil interdit dans la banque

« Pour la sécurité et la solidité de notre réseau, nous n’avons aucun système sans-fil dans toute la banque, et nous décourageons nos employés d’en amener un. », explique-t-il. 

Il y a aussi au sein de la banque une politique de « Aucun téléphone avec appareil-photo », même si Brian Hughes reconnaît que cette règle est plus basée sur la confiance que sur un quelconque moyen technique de vérification.

« Nous nous appuyons sur la pression de l’entourage de travail et sur l’espoir qu’une violation de la politique d’entreprise à propos des appareils de poche sera signalée », continue Brian Hugues.

Mais l’analyste du Gartner John Pescatore pense de son côté qu’en ce qui concerne les PDAs et les smartphones, « la menace est bien trop surestimée ».

5.4 – Sécuriser plutôt qu’interdire

Il y a de plus la perspective que les employés devraient être capables de réaliser « un travail productif depuis n’importe quel ordinateur, n’importe où. », et que pour cela, il y a « assurément un fossé majeur entre les stratégies sécurité des entreprises. Elles ont besoin de faire évoluer leur capacité à injecter de la sécurité entre les utilisateurs de mobiles et les données critiques », un domaine ou John Pescatore considère que les services de sécurité basés dans le Cloud sont appelés à jouer un rôle prédominant.

6 – Comment gérer les risques qui viennent des réseaux sociaux ?

Les réseaux sociaux peuvent apporter beaucoup aux entreprises, mais ils s’accompagnent de risques non négligeables pour la sécurité.

Les réseaux sociaux, que l’on parle de Facebook, Myspace, LinkedIn, Youtube, Twitter ou de n’importe quel autre, deviennent rapidement un mode de vie pour des millions de personnes qui désirent partager des informations personnelles ou professionnelles.

Mais ils s’accompagnent d’énormes risques allant des vols d’identité aux infections par des virus, en passant par la diffusion de commentaires ou informations pouvant entacher
la réputation de personnes ou d’entreprises.

6.1 – Du bon sens suffit-il ?

A la fois les directeurs IT et les experts en sécurité restent très méfiants face aux réseaux sociaux. Beaucoup voient peu de protections face à ces pièges si ce n’est le bon sens et quelques protections antivirus. 

La plupart d’entre eux pensent que leurs efforts doivent d’abord aller à l’éducation des utilisateurs à propos des risques de ces réseaux. « Les réseaux sociaux en eux-mêmes sont vraiment une bonne chose. », considère Jamie Gesswein, ingénieur réseau au Children’s Hospital of the King’s Daughters de Norfolk. Bien que très impressionné par la capacité des réseaux sociaux à faciliter les relations entre les gens, il préfère en bloquer l’accès sauf si l’usage s’en avère vraiment nécessaire.

6.2 – Des informations accessibles durant des années

« Attention à ce que vous publiez. », dit-il. « Je connais des utilisateurs qui publient tout et n’importe quoi sur ces sites. Certaines fois, c’est à celui qui en mettra plus que les autres. »

Il pense que les enthousiastes des réseaux sociaux oublient parfois que ces informations resteront accessibles pendant des années et qu’elles pourraient revenir les hanter si un recruteur s’intéressait à leur passé numérique. Jamie Gesswein croit aussi que les utilisateurs pourraient finir dans « un monde que des personnes mal-intentionnées pourraient exploiter. ».

6.3 – Une diffusion facilitée de ver

Gaby Dowling, responsable de l’informatique pour la firme internationale Proskauer Rose, considère qu’il y a des raions commerciales réelles à l’utilisation des sites de réseaux sociaux tels que LinkedIn, mais elle a peur que des codes malveillants puissent être diffusés facilement en abusant de la confiance des utilisateurs. « Le ver Koobface s’est diffusé sur Facebook car vous pensiez recevoir quelque chose de la part d’un utilisateur de confiance. », souligne-t-elle.

6.4 – Ne pas y accéder depuis des systèmes de production

« Les réseaux sociaux s’accompagnent de risques importants d’infection des systèmes par des codes malveillants. », pense de son côté l’analyste Jonathan Gossels de SystemExperts. Il ajoute : « En ce qui concerne la politique d’entreprise, les employés ne devraient pas visiter les réseaux sociaux depuis les systèmes de production. » 

Les réseaux sociaux sont en fait une « version numérique de la relation. » estime Greg Hoglund, PDG de la firme HBGary et expert de sécurité qui a co-écrit le livre « Exploiting Online Games » qui révélait comment les tricheurs pouvaient manipuler les jeux en réseau tels que World Of Warcraft.

6.5 – Ne pas croire une personne virtuelle

à l’instar d’une personne réelle
Des milliers d’applications tierces sont développées pour les réseaux sociaux, et dans les grandes lignes, elles exposent toutes « des surfaces de vulnérabilité pour des attaques préparées potentielles », affirme Greg Hoglund. 

De plus, l’attaque potentielle est raccrochée à une version numérique d’une relation humaine, quelqu’un que vous connaissez et à qui vous parlez tous les jours, explique-t-il. 

Ce qui veut dire que « la version numérique de cette personne peut être facilement imitée ou exploitée. », et Doug Hoglund ne voit pas de solution évidente à ce dilemme. « En un mot, ne croyez pas une identité virtuelle comme vous croyez une relation humaine. »

« Les gens révèlent bien plus d’informations qu’ils ne le devraient. », poursuit Gary Gordon, Directeur exécutif de l’AIMR (Applied Identity Management Research pour Recherche appliquée sur la gestion des identités), une organisation non-lucrative formée en octobre dernier par des universités, des agences publiques et des industries afin d’explorer les problèmes clés liés à la gestion de l’identité.

6.6 – Attention aux escrocs

« Les risques de vols d’identités et de social engineering (escroquerie et manipulations) à travers l’exploitation des réseaux sociaux sont réels », affirme-t-il. Mais il ne voit pas le blocage des réseaux sociaux comme une solution.

6.7 – Le vol d’identité

Eddie Schwartz, Directeur de la sécurité chez NetWitness, a parlé des risques des réseaux sociaux lors de la récente conférence Infosec. Il avait mentionné le vol d’identité, l’espionnage et les codes malveillants comme des menaces potentielles. 

« Une session typique d’un utilisateur de Facebook ou de MySpace va de quelques minutes à plusieurs dizaines de minutes, vous pouvez donc écrire une application qui récupère des informations personnellement identifiables. », explique Schwartz.

6.8 – Des risques d’espionnage accrus

De plus, il dit avoir vu des preuves démontrant que des employés gouvernementaux utilisant des réseaux sociaux étaient abordés par des personnes d’autres pays, leur demandant des informations dans des objectifs d’espionnage.

L’ouverture proposée par beaucoup de sites de réseaux sociaux en fait des « plateforme idéales à exploiter », précise-t-il.

Quand on en vient aux réseaux sociaux en ligne comme Facebook, « il faut éduquer les gens qui ont des secrets pour qu’ils soient méfiants. », conseille Michael Rochford, responsable de la direction des initiatives globales du bureau de l’Intelligence et de la contre-Intelligence au département de l’énergie du Laboratoire National d’Oak Ridge. « Ils vont d’eux-mêmes sur ces plateformes où ils se feront exploiter. ».

6.9 – Créer son propre réseau social interne

Beaucoup d’entreprises, dont Lockheed Martin qui crée son propre réseau social à usage interne uniquement, bloquent les réseaux sociaux publics pour des raisons de sécurité. 

Mais de nombreuses firmes aujourd’hui considèrent le fait de bloquer les réseaux sociaux comme une mauvaise décision.

7 – Les processus de sécurité pourront-ils être finalement automatisés ?

L’automatisation des systèmes de sécurité est un concept important cette année. Bien que des progrès existent, une automatisation complète semble irréaliste dans les années à venir.

L’automatisation des systèmes de sécurité est un concept important cette année. La plupart des plus importantes agences fédérales américaines ( Département de la défense, Agence de Sécurité Nationale, Agriculture et Energie, …) insistent pour une nouvelle orientation au-delà de l’actuel mandat d’audit FISMA de la sécurité. 

Elles veulent que le Congrès et que l’administration d’Obama considèrent l’adoption des grandes lignes du Consensus d’Audit, un ensemble de 20 contrôles de sécurité techniques qui encouragent l’automatisation.

7.1 – Mais la sécurité peut-elle être automatisée ?

Les domaines considérés comme suffisamment matures, tels que les scans ou la prévention des intrusions, peuvent être automatisés, estime l’analyste du Gartner John Pescatore. « Mais parce que les menaces et les environnements technologiques changent rapidement, l’automatisation de la sécurité est limitée. C’est bien d’en parler, mais en réalité le bénéfice pour l’entreprise est réduit. », poursuit-il.

7.2 – L’automatisation ardemment désirée

Cependant, certains responsables IT se disent peu enthousiastes à l’idée d’acheter des produits ou services de sécurité s’ils ne contribuent pas à l’automatisation. 
« Nous sommes complètement automatisés en ce qui concerne la création des identifiants. », annonce Mike Ruman, Responsable des communications et de la messagerie d’entreprise chez Grant Thornton, une firme qui compte plus de 50 bureaux et 6 000 employés. 

L’allocation de ressources (provisioning) automatique peut créer un identifiant utilisateur en 8 minutes et assigner la personne à un groupe de sécurité basé sur le code de son emploi et son département, dit-il. 

La firme utilise le provisioning GroupID d’Imanami afin de se synchroniser avec les ressources humaines et les bases de données des départements, ainsi que l’annuaire de Microsoft, Active Directory, pour mettre à jour les privilèges en ligne des employés toute les deux heures.

« S’il y a des changements, cela permet de garder l’information à jour, et l’accès de l’utilisateur peut être fermé », dit Mike Ruman. Le maillon faible de cette chaine – qu’il a vu arriver une fois – est que les ressources humaines oublient de noter le départ d’un employé.

Mike Ruman remarque aussi que le processus d’auto-provisionning en place aide les auditeurs car il est simple de générer des rapports. L’une des barrières principales qu’il voit à l’automatisation de la sécurité est la politique de l’entreprise, particulièrement les « guerres de territoire d’administrateurs », lorsqu’ils se querellent à propos de tâches qui sont souvent manuelles.

Quoi qu’il en soit, les doutes à propos des perspectives pour la sécurité automatisée abondent.

7.3 – Pas plus d’automatisation que de voitures volantes

« Comme pour les voitures volantes, les gens ont attendu une automatisation totale de la sécurité pendant des années. », commente Tracy Hulver, Vice-présidente exécutive du marketing et des produits chez NetForensics, un éditeur de produit de gestion des évènements de sécurité, aidant à automatiser la consolidation des données de sécurité et des journaux d’historiques.

« Malheureusement, c’est quelque chose qui est à des années, peut-être décennies, de pouvoir être réalisé. », regrette-t-il, ajoutant que l’automatisation a joué sur certains aspects des questions de sécurité « mais une intervention humaine est toujours requise pour pouvoir répondre de manière appropriée. »

8 – Les vidéos

  • 8.1 - Introduction to internet security Vidéo en Anglais

    Cette video en anglais vous présente une introduction à la sécurité Internet. As our lives have moved online we now perform many sensitive or personal transactions over the internet. When we send email, we want to ensure that it not read or modified during transmission. When we purchase goods and services, we want to ensure that our payment information does not fall into the wrong hands. And even when we search the web, we may want to ensure that our explorations remain private and are not visible to our internet service provider. Accomplishing these tasks requires a complex ecosystem combining beautiful mathematical algorithms and systems to establish trust and control who can access what internet resources. Clearly we’re still getting it right ​few months go by without news of another hack or security vulnerability. But we’re making progress.

    Introduction to internet security

  • 8.2 - A practical guide to deploying Honeynets Vidéo en Anglais

    When honeypots are given the proper attention, care and feeding, they produce invaluable information. This intelligence has been primarily used by security researchers and organizations with advanced defensive capabilities to study their adversaries and learn from their actions. But what about the rest of us? Honeypots are a lot of work to configure, maintain, and monitor -- how can an organization that is not focused on research gain valuable intelligence using honeypots and actively defend their network using the data obtained? The answer is honeypots for active defense. There are currently many open source security tool distributions that come pre-loaded with honeypots among other useful tools, however the honeypot software is often not deployed in an effective manner. This session will discuss techniques to deploy honeypots in ways that will not overburden the security team with massive logs to sift through and focuses on correlating active threat data observed in the honeypot with the production environment. When deploying honeypots effectively, this can give security analysts one additional mechanism to tip them off to nefarious activity within their network.

    A practical guide to deploying Honeynets

  • 8.3 - What is Botnet ? Vidéo en Anglais

    Cette vidéo en anglais vous présente de manière très ludique ce qu'est un Botnet. Botnet is becoming a big problem on the Internet. Learn how to protect yourself and family against botnet and other malicious software.

9 – Suivi du document

Création et suivi de la documentation par Vivien Derest et _SebF

10 – Discussion autour des 7 questions pour améliorer la sécurité de votre entreprise

Vous pouvez poser toutes vos questions, faire part de vos remarques et partager vos expériences à propos des 7 questions pour améliorer la sécurité de votre entreprise. Pour cela, n’hésitez pas à laisser un commentaire ci-dessous :

Commentaire et discussion

7 commentaires sur la page : “7 questions pour améliorer la sécurité de votre entreprise”

  1. Bonjour,
    Il me semble dommage que vous n’évoquiez pas le besoin d’une sensibilisation de qualité des collaborateurs comme une des questions clés de la sécurité des entreprises. Qu’en pensez-vous ?

    1. Lu Charles,

      J’en pense que tu as raison 🙂 Le social engineering et la sensibilisation des collaborateurs sont des points important à la sécurité d’une entreprise.

      @+
      Sebastien FONTAINE

      1. Lu Siham ing,

        Je te dirais alors simplement, install Pstfix et configure SMTPS dans master.cf. Puis dans ton script PHP, envoi just un mail classique à ton relai local (127.0.0.1:465) et ainsi, ton mail sera relayé en SMTPS si la destination l’accepte bien sur 🙂

        @+

        Sebastien FONTAINE

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *