«Comme toujours, il y ceux qui font… et ceux qui regardent faire !» Pour Steph Cano, Business Technology Consultant, Dimension Data, il faut choisir. Puis s’investir. Et de prendre le parcours aéroportuaire comme exemple: «enregistrement, contrôle du passeport, contrôle des bagages, contrôle à la porte de l’avion… et cela recommencera une fois arrivé à destination !» On ne s’en étonne plus, le périple rassure. Sans doute parce qu’il est concret. Question: peut-il en aller autrement quand on prévoit 50 milliards d’équipements connectés en 2020 et 185 milliards d’applications en circulation ?
Retour au Alvisse Parc Hotel, lors des Information Security Days 2015 (1er et 2 avril) organisés sous la bannière IT One. Toujours selon Dimension Data, nous sommes en train de vivre cinq mutations. D’abord, le glissement de la prévention des incidents vers la réponse aux incidents. On verra aussi que la gestion des services de sécurité se placera au centre et au front. Et que les clients seront les moteurs de l’engouement vers les plateformes sécuritaires. Enfin, on assistera à un retour en force de la sécurité de l’endpoint.
Et Steph Cano de conclure en conseillant aux entreprises de considérer la sécurité de façon holistique, de tracer son architecture à la manière de l’architecte dessinant un bâtiment et, enfin, de ne jamais oublier que l’agilité est l’élément clé.
FAIRE EMERGER LA PREUVE ELECTRONIQUE. «La manière dont nous voyons aujourd’hui notre vie privée change la façon dont nous appréhendons maintenant la sécurité de nos données.» estime Michael Hofmann, Partner in charge of Information Risk Management, KPMG. Une posture confortée par l’émergence de nouvelles menaces ciblant toujours plus d’applications. Ainsi, des informations stratégiques peuvent être stockées sur différents supports et en différents endroits. Ce qui en cas de problème, notamment juridiques, revient à chercher une aiguille dans une meule de foin.
De là l’idée de KPMG de proposer l’Electronic Discovery Reference Model. Ou, pratiquement, l’administration de la preuve électronique, solution pour une saine gestion du temps, des coûts et des risques au travers d’un éventail de propositions, et véritable cycle administratif de l’e-preuve. Objectif: évaluer vos capacités existantes, votre culture et les cadres réglementaires; établir ensuite une structure de gouvernance efficace; définir des règles de conservation des dossiers efficaces; présenter des politiques, des pratiques et des approches étendues en matière d’administration de la preuve électronique…
Pratiquement, il s’agira de travailler sur la collecte, le traitement, l’examen, la production et la présentation de la preuve. «Fédérez vos savoirs avec d’autres, conseille encore Michael Hofmann. Définissez et suivez une stratégie et, surtout, tenez-la bien. Faites de la sécurité une seconde nature !»
UNE PROTECTION AJUSTABLE AUX MENACES. Quelques minutes suffisent pour compromettre un mobile et accéder à l’ensemble du système d’information d’une entreprise. En effet, les supports mobiles sont devenus une des portes d’entrée privilégiée pour les pirates. A titre d’exemple, les maliciels sur mobile auraient progressé de 58%. Dans le détail, 32% des attaques sur ce terrain visaient à collecter des données, telles que les adresses électroniques et les numéros de téléphone. L’essor du BYOD n’arrangera rien…
A toujours plus de tentations doit répondre toujours plus de précautions. Tel est, rapidement brossé, l’avis de Check Point. Selon Robby Cauwerts, Security Engineer, Check Point, «il y a les menaces que nous connaissons, celles que nous connaissons mais sur lesquelles nous ne savons rien de concret et, enfin, celles dont ignorons même l’existence !» Face à cette situation, nous avons besoin d’une protection ajustable aux menaces. Et donc d’une prévention basée sur l’intelligence, d’une collaboration en temps réel et d’une intelligence ouverte pour transformer les problèmes de sécurité en solution.
«Les entreprises sont à la recherche de conseils pour mieux se protéger de manière gérable et simple d’emploi; il s’agit donc de dépasser la notion de produit.»
L’éditeur l’a bien compris. En présentant SDP, il parle de modèle d’architecture. Ou comment mieux redessiner son réseau pour répondre à la fois à un environnement informatique dépourvu de frontières et un paysage de menaces dynamiques.
Le principe est intéressant. SDP prévient les menaces par la compréhension de leur nature et l’analyse de leur comportement, exécute un contrôle d’accès grâce à un modèle de sécurité des interactions entre personnes autorisées et défend les données en se focalisant sur leur classification là où les autres solutions travaillent sur les interactions et comportements.
LA BALLE QUI TUE N’EXISTE PAS ! «Les outils actuels et à venir ont leurs limites, lorsque celles-ci ne sont déjà pas atteintes, voire dépassées, vu qu’aujourd’hui de stupides malwares passent entre les mailles du filet», constate Claus Houmann, Head IT, Banque Öhmann en précisant ici parler en son nom. «Les outils actuels et à venir ont leurs limites, lorsque celles-ci ne sont déjà pas atteintes, voire dépassées, vu qu’aujourd’hui de stupides malwares passent entre les mailles du filet…»
Le message est clair: la balle qui tue n’existe pas ! Ne pas tout attendre de la technologie, encore moins du produit X ou Y. Et donc avancer avec précaution. Ou: Keep calm and Try harder. Pour Claus Houmann, «la compliance n’est pas la sécurité, elle est la préparation au combat contre les intrusions. Une lutte trop souvent menée avec des armes obsolètes ! Le schéma d’une bonne défense passe dans l’ordre par : une infrastructure défendable; une excellence opérationnelle; un éveil constant et des contre-mesures. La solution doit s’assembler comme des Lego et chaque chose à faire doit être faite. Aujourd’hui, on n’écrit plus de logiciels, on les assemble !»
Claus Houmann conseille aussi de définir des zones rouges au niveau du PC, du réseau et du cloud. De sécuriser tout ce que nous adressons au cloud, d’encrypter et de segmenter. Une dernière régle: «Toujours savoir ce qui se passe dans notre réseau !»
LE DROIT A QUOI, COMMNET ET POURQUOI. Les règlements sont nombreux, trop nombreux. Ils sont sectoriels, monétaires, juridiques, etc. Pourquoi tant de règles ? «Pour réduire les risques d’erreur ou de fraude, pour savoir qui a droit à quoi, éviter des conflits comme l’affaire Kerviel», répond Bertrand Augé, CEO, Kleverware. L’entreprise s’est interrogée très tôt sur les risques opérationnels et plus particulièrement ceux liés aux droits et privilèges donnés aux utilisateurs du système d’information.
Des questions et bien d’autre encore auquel entend répondre l’Identity Access Governance. Au menu: audit et analyse pour la rationalisation et le contrôle des droits utilisateurs et des profils métiers. Pour Kleverware, c’est une évolution naturelle, les entreprises étant de plus en plus soumises au contrôle des auditeurs -internes ou externes comme les commissaires aux comptes.
Extraction, transfert, corrélation, mais aussi modélisation et reporting sont les étapes d’un audit et d’une analyse qui rationnalisent et contrôlent les droits des utilisateurs et des profils métiers. Ujne contrainte de plus? Non, estime Bertrand Augé, le moyen de mieux se connaître !
«On a pour habitude de dire que la sécurité n’est pas que technique alors qu’elle l’est malgré ses implications organisationnelles et juridiques», enchaîne Arnauld Mascret, Head of IT Security R&D, Sogeti/ESEC. «Autre raisonnement biaisé : c’est crypté, donc c’est sécurisé. Sauf que la cryptographie n’est pas magique, juste un concept mathématique !» Pour avoir des outils qui fonctionnent, il faut acheter les bons outils, ceux qui sont en adéquation avec la réalité de l’entreprise, son environnement, ses menaces. Une solution qui est bonne pour telle entreprise, ne l’est pas nécessairement pour toutes les entreprises., «Avant de signer le bon de commande, conseille encore Arnauld Mascret, évaluez les produits, faites-les auditer. De toute évidence, ne faites jamais confiance par défaut !»
Jean-Claude Quintart