Se protéger à l’aide d’une stratégie 360°
Les attaques des hackers deviennent de plus en plus sophistiquées et les menaces s’amplifient. Pour assurer une protection globale, une stratégie en profondeur intégrant la gouvernance, l’humain et la technologie est à adopter d’urgence.
De manière générale, tous les éditeurs de système d’exploitation et d’applications ont amélioré la sécurité de leurs produits. Cependant, dans toutes les analyses post-incident, 90% des erreurs viennent d’une mauvaise configuration faite par l’humain ou d’un processus qui n’a pas été appliqué avec rigueur, comme par exemple le patching des systèmes. Les hackers connaissent exactement le raisonnement des administrateurs et exploitent ces failles car elles sont plus facilement accessibles.
Prenez, par exemple, n’importe quel système hautement sécurisé répondant aux standards les plus exigeants : si vous l’implémentez et négligez les mises à jour régulières du produit ou que vous lui attribuez un mot de passe faible, c’est la sécurité de tout le système qui s’effondre. Car en termes de configuration, nous n’avons pas adopté les bons réflexes ! Une implémentation rigoureuse et respectueuse des principes de sécurité doit être assurée. C’est lors de la conception et de l’implémentation des solutions techniques que les administrateurs introduisent des failles de sécurité involontaires.
Pour réduire le risque au maximum, il est important d’adopter un système de défense en profondeur qui ne repose pas uniquement sur la technologie.
Gouvernance : implication de la direction, gestion des risques et garant des processus
Les entreprises doivent adopter une gouvernance de la sécurité au niveau de la direction à l’aide d’une gestion par les risques, afin de planifier et suivre la mise en œuvre des actions pour améliorer globalement la sécurité des informations. C’est le premier outil de pilotage nécessaire pour développer une stratégie de sécurité des systèmes d’information, mais aussi pour faire accepter les budgets d’investissements dans ce domaine.
Humain : sensibilisation et formation des utilisateurs et des informaticiens
Un autre grand problème est qu’on s’efforce de sécuriser l’information en introduisant des outils techniques, pensant qu’ils résolvent tous les problèmes. Comme mentionné en introduction, le risque majeur de ces outils se trouve lors de la conception et de l’implémentation. Il faut ainsi sensibiliser et former aux principes de la sécurité les personnes qui implémentent ces logiciels. Ainsi, il est possible de fortement réduire les vulnérabilités introduites involontairement dans les systèmes.
Technologie : protéger à l’aide de la technologie et adopter une hygiène irréprochable
Un grand point faible dans de nombreuses PME et grandes entreprises est l’hygiène autour de la gestion des mots de passe. La politique d’entreprise impacte d’une manière trop restrictive le travail quotidien des informaticiens qui trouvent des solutions pour contourner ces directives. Pourtant, il faut bien être conscient que la récupération des mots de passe fait partie du modus operandi des hackers. Il est aussi nécessaire d’implémenter des outils technologiques qui visent à faciliter la découverte, la gestion et la rotation automatique de tous types de comptes à privilèges.
Eduardo Geraldi, Chief Information Security Officer avec CISEL Informatique SA
