|
|
7 questions pour améliorer la sécurité de votre
entreprise
par Vivien Derest
1 -
Devez-vous surveiller vos employés de près ?
1.1 -
Trouver le bon équilibre
1.2 -
Détecter les comportements
suspects
1.3 -
Ne pas oublier de données
sensibles
1.4 -
Des règlements liés au
contexte médical
2 -
Vaut-il mieux choisir un seul vendeur de sécurité stratégique, ou plutôt
rassembler les meilleures solutions de différents constructeurs ?
2.1 -
Pas d'avantage en termes
d'intégration
2.2 -
Des solutions de
chiffrement spécialisées
2.3 - Un
budget allégé ?
2.4 -
Demande à être convaincu
2.5 -
Toujours garder une alternative
3 -
A quel point devons-nous avoir peur des statistiques de sécurité ?
3.1 -
On veut nous mener vers un produit
3.2 -
Avoir ses propres chiffres
internes
3.3 -
En France, personne ne s'inquiète
4 -
Les questions de sécurité retardent-elles l'adoption du Cloud computing ?
4.1 -
Un sentiment de risque accru
4.2 -
Les fournisseurs en cause
4.3 -
Une alliance pour la sécurité
du Cloud
5 -
L'informatique mobile est-elle le talon d'Achille de votre politique de sécurité
?
5.1 -
Chiffrer les données
5.2 -
Les smartphones sont un
bon outil de travail
5.3 -
Le sans fil interdit dans la
banque
5.4 -
Sécuriser plutôt qu'interdire
6 -
Comment gérer les risques qui viennent des réseaux sociaux ?
6.1 -
Du bon sens suffit-il ?
6.2 -
Des informations
accessibles durant des années
6.3 -
Une diffusion facilitée de ver
6.4 -
Ne pas y accéder
depuis des systèmes de production
6.5 -
Ne pas croire une personne
virtuelle
6.6 -
Attention aux escrocs
6.7 - Le
vol d'identité
6.8 -
Des risques d'espionnage accrus
6.9 -
Créer son propre réseau social
interne
7 -
Les processus de sécurité pourront-ils être finalement automatisés ?
7.1 -
Mais la sécurité
peut-elle être automatisée ?
7.2 -
L'automatisation ardemment désirée
7.3 -
Pas plus
d'automatisation que de voitures volantes
8 - Discussion autour de la
documentation
9 - Suivi du document
Face à la crise économique, à la montée en puissance des
réseaux sociaux et du Cloud computing, la question de la sécurité des systèmes
d'information revient avec force sur le devant de la scène. Où faut-il porter
son attention ? Jusqu'où aller afin d'améliorer la sécurité ? Des experts
répondent.
Dans une époque économiquement
difficile, les menaces internes augmentent les risques pour la sécurité IT.
Jusqu'où les responsables des technologies de l'information doivent-ils aller
pour protéger les données de leurs entreprises ?
Le risque venu de l'intérieur a toujours existé, mais il est d'autant plus
important dans une ère de bouleversements et d'incertitudes économiques.
C'est un point qui a été mis en relief par un récent sondage de l'institut
Ponemon portant sur 945 personnes ayant été licenciées ou ayant quitté leur
emploi en 2008 :
Jusqu'où les responsables des
technologies de l'information doivent-ils aller pour protéger les données de
leurs entreprises ? « Il faut un équilibre », répond Max Reissmueller,
Responsable des opérations IT et de l'infrastructure chez Pioneer Electronics. «
Je n'aimerais pas que des responsables viennent me demander de garder un oeil
sur un employé en particulier, afin de savoir ce qu'il fait à chaque minute. »
Parallèlement, la société Pionneer est déterminée à protéger sa propriété
intellectuelle, ses listes de clients, et ses autres données sensibles. « Je ne
veux pas qu'un employé mécontent essaie de voler des informations. », reconnaît
Max Reissmueller. C'est la raison principale pour laquelle la firme a installé
un outil de contrôle d'accès au réseau pour surveiller l'accès aux "joyaux de la
couronne", et savoir si les employés essayent d'outrepasser leurs droits.
A l'aide d'un commutateur ConSentry
Networks et d'un contrôle d'accès au réseau, Pioneer surveillera les
comportements qui pourraient se révéler suspects afin de les bloquer. « Mais je
ne veux pas que mon personnel de sécurité se transforme en Big Brother. »,
poursuit Max Reissmueller.
En pratique, et comme d'habitude, il suffit d'un cas de fuite de données pour
obliger une organisation à renforcer sa surveillance : C'est ce qui est arrivé à
l'Université d'Arizona. Celle-ci a du faire des annonces officielles à propos
des données personnelles qui avaient été exposées au public, commente Eric Case,
en charge de la sécurité de l'information à l'université.
C'est ce qui a poussé le bureau
d'information et de sécurité de l'Université à donner le coup d'envoi d'un
programme qui consistait notamment à vérifier que le personnel de la faculté
n'abandonnait ou n'oubliait pas de données sensibles dans ses ordinateurs.
Afin de s'en assurer, l'Université a déployé un logiciel gratuit de prévention
des fuites de données appelé Spider. Cet outil peut vérifier une machine cible
et voir si elle contient des données qui ne devraient pas y être. Il peut alors
les supprimer ou les déplacer vers un serveur plus sécurisé.
Bien que le personnel de sécurité ait expliqué en détail ses objectifs, « Une
partie des gens étaient très inquiets que nous ayons accès à leurs données »,
avait expliqué Eric Case lorsqu'il avait abordé le sujet durant la récente
conférence Infosec World. « Ils étaient fâchés. »
"Mais après avoir rassuré les gens, la prévention des fuites de données devait
prendre effet au plus vite car nous savions que nous avions des données
éparpillées partout », continue Éric Case. « Avons-nous réduit les risques ?
Oui, beaucoup. »
Rick Haverty, le Directeur de
l'infrastructure des systèmes d'informations au centre médical de l'Université
de Rochester à New York, explique de son côté que son organisation est soumise à
des lois et des réglementations particulières en ce qui concerne les
informations de soin des patients. "Nous devons nous rendre compte quand il
apparaît qu'un employé pourrait ne pas avoir respecté les règles. L'une de nos
préoccupations est qu'un employé jette un coup d'oeil sans raisons au dossier
médical de quelqu'un d'autre".
«Des gens ont été licenciés pour cette raison», précise-t-il, ajoutant que
l'enquête commence souvent par des rumeurs à propos de la situation médicale
d'un patient. L'inspection débute alors par l'étude des journaux d'historiques
afin de déterminer s'il n'y a pas eu d'accès inapproprié aux dossiers.
L'analyste du Gartner John Pescatore estime que le mot-clé est de savoir
jusqu'où il faut surveiller les employés : « Il y a assurément une nécessité de
surveiller les fuites de données critiques pour l'entreprise dont les employés
sont responsables. Il y a aussi un besoin de savoir ce qui arrive dans leurs
ordinateurs pour se protéger de codes malveillants. », commente-t-il.
« Cependant, en pratique, il est moins urgent de surveiller chaque action
entreprise par un utilisateur, ou de lui interdire l'accès à tout site non relié
au travail, de l'empêcher d'utiliser son ordinateur de bureau pour toute autre
chose que le travail, ou d'utiliser son ordinateur personnel pour le travail. »
L'évolution vers un mélange bureau/maison pour travailler est en cours, et « la
sécurité ne peut pas stopper cette évolution, pas plus qu'elle n'avait arrêté
internet, le Wifi ou d'autres évolutions par le passé. », termine-t-il.
Un grand débat émerge alors que Cisco et
d'autres visent à s'approprier le domaine de la sécurité. Est-il préférable de
choisir un seul vendeur de sécurité stratégique, ou vaut-il mieux assembler les
meilleures solutions proposées par différents constructeurs ?
Le grand débat ces derniers temps est de savoir s'il est préférable de choisir
un vendeur de sécurité stratégique qui apporte la majorité des produits de
sécurité et de services dont l'entreprise pourrait avoir besoin, ou d'opter
plutôt pour différents produits spécifiques, ce qui inclut ceux proposés par des
starts-up ?
« Ma préférence irait à un seul vendeur
stratégique. », avance Rick Haverty, directeur de l'infrastructure des systèmes
d'informations au centre médical de l'Université de Rochester. Cisco est le
vendeur réseau stratégique pour l'URMC (Centre Médical de l'Université de
Rochester), qui vient de retenir IronPort, une appliance de filtrage Web, et
filiale de Cisco.
Mais il ajoute ne pas avoir encore vu l'avantage qu'avoir un vendeur unique est
supposé apporter en termes d'intégration des produits, comme une console de
gestion commune par exemple. « Ils n'en sont tout simplement pas encore là »,
estime-t-il.
Quoi qu'il en soit, l'URMC cherche aussi
des produits spécialisés afin de pourvoir aux besoins de l'organisation, se
tournant vers des vendeurs de sécurité tels que Voltage pour le chiffrement des
e-mails avec ses partenaires commerciaux, ou Check Point pour son chiffrement
PointSec complet du disque dur des postes de travail. Rick Haverty considère
n'avoir à faire que des choix pragmatiques pour la sécurité de l'entreprise,
tout simplement.
Autre cas, Brad Blake, le directeur IT du centre médical de Boston, annonce que
le point de vue de son employeur, est de prendre les meilleurs produits
spécialisés pour les applications cliniques, mais de préférer un vendeur
stratégique (ou deux) en ce qui concerne la sécurité.
La raison principale selon lui est que
l'approche d'un vendeur stratégique de sécurité peut aider à réduire le budget,
et donne l'avantage d'une plateforme de gestion commune.
Le centre médical de Boston considère que McAfee est un vendeur stratégique car
il utilise son large portefeuille de produits de sécurité et sa console ePolicy
Orchestrator pour les piloter.
ArcSight est aussi considéré comme un vendeur critique car sa plateforme de
gestion de la sécurité de l'information peut combiner les journaux d'historiques
en provenance de plusieurs sources afin de les analyser.
Bien que le centre Médical de Boston
ressemble un peu à un "Magasin Cisco", le fournisseur de soins n'a pas été assez
impressionné jusqu'ici pour adopter jusqu'aux produits sécurité Cisco.
George Japak, patron d'ICSA Labs, qui teste une gamme variée de produits de
sécurité, déclare que Cisco empile les couches de pare-feu et d'antivirus à
l'intérieur des commutateurs et des routeurs. De plus en plus, les plus grosses
entreprises dépendantes des équipements Cisco choisissent ce constructeur de
manière à réduire la complexité de leurs réseaux.
Mais il soutient qu'on ne peut pas
donner de passe-droits aux vendeurs stratégiques de sécurité et qu'ils doivent
rester responsables de toutes les nouvelles fonctionnalités de sécurité qu'on
leur confie. « Vous pouvez avoir un vendeur principal de sécurité tout en en
gardant d'autres dans votre manche. », résume George Japak.
Gaby Dowling, responsable de la sécurité IT pour le cabinet d'avocats Proskauer
Rose, pense qu'il n'est pas logique de considérer quoi que ce soit comme étant
"stratégique" si le vendeur et le produit ne peuvent s'adapter rapidement à un
environnement de menaces évolutif. « Juste le fait que différents produits
viennent du même vendeur ne veut pas forcément dire qu'ils vont bien s'intégrer,
selon mon expérience. », conclut-elle.
Les fournisseurs de sécurité ne sont pas
avares de statistiques sur les attaques et les risques. Il nous en arrive tous
les jours, toutes plus inquiétantes les unes que les autres. Les experts se
disent sceptiques, bien qu'ils avouent les intégrer dans les tendances
générales.
Saviez-vous que le nombre de sites diffusant des codes malveillants pour voler
des mots de passe a été de 31 173 en Décembre 2008, record jamais atteint par le
passé, selon la coalition APWG (l'ancien groupe de travail anti-phishing) ?
Ou que le coût des vols de données a atteint une moyenne de 6,6 millions de
dollars par violation l'année dernière (contre 6,3 millions de dollars en 2007),
selon l'institut Ponemon ?
Ou que de 3 % à 5 % des stations de travail ou serveurs d'entreprise,
principalement ceux sous Windows, sont susceptibles d'être infectés par du code
"Botnet", selon la firme de sécurité Damballa qui se base sur une analyse du
trafic de ses clients ?
Les rapports sont pleins de telles statistiques en provenance d'une variété de
sources, mais les responsables IT s'en inquiètent-ils vraiment ?
« Nous y faisons tous un peu attention.
», déclare Jeff Keahey, PDG de Wardlaw Claims. « Mais nous nous méfions de leur
partialité. » En général, on a souvent le sentiment que quelqu'un essaye
vraiment de nous « mener vers un certain produit » et « beaucoup de statistiques
sont accompagnées d'une publicité », remarque-t-il.
Bien qu'il reste méfiant, Jeffn Keahey dit regarder les statistiques de sécurité
comme une indication générale des tendances, et qu'elles ont peut-être une
influence sur les décisions qu'il doit prendre pour contrer les menaces de
sécurité.
Cloudmark, un vendeur qui fabrique des
produits de sécurisation des e-mails, a des doutes quant à l'importance réelle
des statistiques de sécurité qui apparaissent dans les médias : « Une
organisation devrait se concentrer bien plus sur ses chiffres internes plutôt
que sur des statistiques externes. », pense Adam O'Donnell, Directeur des
technologies émergentes chez Cloudmark.
Cependant, Unisys, un intégrateur de systèmes, est d'un autre avis. Depuis 2
ans, Unisys réalise tous les 6 mois un sondage portant sur près de 14 000
personnes dans 13 pays, leur posant 8 questions à propos de leur perception de
la sécurité personnelle, financière et du secteur public en ligne. Unisys
affirme que les entreprises qui s'intéressent à ce que pensent les
consommateurs, doivent prendre en compte ces statistiques.
« C'est fascinant de voir à quel point
les statistiques sont différentes selon les pays et les populations., explique
Tim Kelleher. « Le monde n'est pas homogène. En France, personne ne s'inquiète
vraiment, mais au Brésil et dans certains pays asiatiques, les gens ne se
sentent pas en sécurité quand ils sont sur internet. Les États-Unis sont entre
les deux. »
Tim Kelleher en retient que les tendances statistiques générales sont plus
significatives que les chiffres brandis sur le moment.
Il semble y avoir consensus sur cette
question. On attend des fournisseurs de Cloud computing une plus grande
transparence et de meilleures garanties quant à leurs offres.
« Oui, la sécurité est l'un des problèmes qui ralentit l'adoption du Cloud
computing. », affirme Eric Mandel, PDG de BlackMesh. « L'une des plus grosses
inquiétudes à propos du Cloud computing est qu'une fois que vous avez déplacé
vos informations dans le Cloud, vous en perdez le contrôle. Le Cloud donne accès
aux données, mais vous n'avez aucun moyen de vous assurer que quelqu'un d'autre
n'y a pas accès aussi. Comment pouvez-vous vous protéger d'une faille de
sécurité quelque part dans le Cloud ? »
« Les questions de sécurité vont
continuer à laisser certaines entreprises en dehors du Cloud », précise Eric
Mandel.
Symplified, une start-up fournissant un service de sécurité basé dans le Cloud
qui étend les contrôles d'accès, considère aussi qu'il y a un fort sentiment que
le risque est accru.
« Nous estimons qu'il faut se concentrer sur les droits d'accès des utilisateurs
("credentials"). Ce sont les clés du royaume et nous nous rendons compte que les
entreprises répugnent à mettre ces clés dans le Cloud », remarque Eric Olden,
PDG de Symplified. Il note aussi que les fournisseurs de Cloud serviraient leur
propre cause en offrant plus de "transparence" sur ce qui se passe dans
l'environnement du Cloud Computing.
L'analyste Eric Maiwald du Burton Group soutient aussi que les vendeurs de Cloud
devraient être plus ouverts à propos de leurs pratiques de sécurité. Une longue
liste de questions de sécurité devrait être résolue avant que les entreprises ne
se lancent dans le Cloud Computing, mêmes si elles voient les réduction de coûts
comme le premier moteur.
Ces questions incluent notamment :
-
La façon dont les données sont
chiffrées et stockées,
-
Si l'e-discovery peut être réalisé
en cas de besoin,
-
Les contrôles existants,
-
Si le fournisseur de Cloud a passé
un audit SAS-70 (ce qui est le cas de Google par exemple)
Dick Mackey, analyste chez consultancy
SystemExperts, pense que le Cloud Computing est « un choix difficile pour une
entreprise désirant utiliser cette plateforme pour protéger des informations
sensibles. » à cause de « l'incapacité ou de la réticence des fournisseurs de
Cloud à donner des garanties à propos des contrôles qui encadrent les ressources
informatiques. »
Il soutient aussi « qu'il serait difficile voire impossible d'assurer une
conformité de type PCI (Payment Card Industry), demandée par les organismes de
cartes bancaires Visa et Mastercard, dans un Cloud proposé par un fournisseur de
services. Les exigences sont fortes et touchent alors d'une part à la
compréhension d'un système précis et d'une configuration réseau, et d'autre part
au contrôle de l'accès aux systèmes et aux données issues des cartes bancaires.
»
Mais les vendeurs n'attendent pas les
bras croisés. Ils ont récemment formés une Alliance de Sécurité du Cloud pour
traiter précisément les inquiétudes que les professionnels de la sécurité IT
disent avoir.
La plupart des entreprises aujourd'hui
arrivent à bien sécuriser leurs ordinateurs portables. Mais la question des
smartphones est bien plus épineuse.
L'informatique mobile, depuis l'ordinateur portable jusqu'aux myriades d'engins
qui tiennent dans la main (smartphones, blackberries, iPhones, clés USB et PDA),
peut sans aucun doute être considérée comme le maillon faible en termes de
sécurité, remarque Jonathan Gossels, analyste chez consultancy SystemExperts.
Bien que pas tout à fait disposées à la considérer comme aussi dévastatrice que
la blessure d'Achille durant la guerre de Troie, beaucoup d'organisations
reconnaissent l'informatique mobile comme leur plus gros défi d'un point de vue
sécurité.
« Les IPhones, Blackberries et Treos
sont autant de nouveaux problèmes pour nous. », admet Doug Miller, Directeur IT
chez Armanino McKenna LLP.
La firme sécurise près de 200 ordinateurs portables avec des produits tels que
PointSec, DeviceLock et TruCrypt. Ces solutions renforcent le chiffrement des
données, empêchent de graver des Cds, et restreignent les utilisateurs aux
seules unités de stockage amovibles spécifiquement contrôlées Flexar. Mais la
sécurité n'est pas aussi simple avec les smartphones.
Ceux-ci appartiennent à des employés qui les utilisent aussi bien pour des
raisons personnelles que de travail, fait remarquer Doug Miller.
« C'est leur téléphone, et le problème
est que c'est un bon outil pour nos employés. », continue Doug Miller. Même s'il
existe des possibilités d'effacements à distance ou de de protection par des
mots de passe, un niveau similaire de sécurité logicielle que sur les PC
portables ne semble pas encore être disponible sur les smartphones.
Brian Hughes, le vice-président et Responsable PC à la First National Bank de
Pennsylvanie s'inquiète aussi des téléphones disposant d'un appareil photo.
« Pour la sécurité et la solidité de
notre réseau, nous n'avons aucun système sans-fil dans toute la banque, et nous
décourageons nos employés d'en amener un. », explique-t-il.
Il y a aussi au sein de la banque une politique de "Aucun téléphone avec
appareil-photo", même si Brian Hughes reconnaît que cette règle est plus basée
sur la confiance que sur un quelconque moyen technique de vérification.
"Nous nous appuyons sur la pression de l'entourage de travail et sur l'espoir
qu'une violation de la politique d'entreprise à propos des appareils de poche
sera signalée", continue Brian Hugues.
Mais l'analyste du Gartner John Pescatore pense de son côté qu'en ce qui
concerne les PDAs et les smartphones, « la menace est bien trop surestimée ».
Il y a de plus la perspective que les
employés devraient être capables de réaliser « un travail productif depuis
n'importe quel ordinateur, n'importe où. », et que pour cela, il y a «
assurément un fossé majeur entre les stratégies sécurité des entreprises. Elles
ont besoin de faire évoluer leur capacité à injecter de la sécurité entre les
utilisateurs de mobiles et les données critiques", un domaine ou John Pescatore
considère que les services de sécurité basés dans le Cloud sont appelés à jouer
un rôle prédominant.
Les réseaux sociaux peuvent apporter
beaucoup aux entreprises, mais ils s'accompagnent de risques non négligeables
pour la sécurité.
Les réseaux sociaux, que l'on parle de Facebook, Myspace, LinkedIn, Youtube,
Twitter ou de n'importe quel autre, deviennent rapidement un mode de vie pour
des millions de personnes qui désirent partager des informations personnelles ou
professionnelles.
Mais ils s'accompagnent d'énormes risques allant des vols d'identité aux
infections par des virus, en passant par la diffusion de commentaires ou
informations pouvant entacher
la réputation de personnes ou d'entreprises.
A la fois les directeurs IT et les
experts en sécurité restent très méfiants face aux réseaux sociaux. Beaucoup
voient peu de protections face à ces pièges si ce n'est le bon sens et quelques
protections antivirus.
La plupart d'entre eux pensent que leurs efforts doivent d'abord aller à
l'éducation des utilisateurs à propos des risques de ces réseaux. « Les réseaux
sociaux en eux-mêmes sont vraiment une bonne chose. », considère Jamie Gesswein,
ingénieur réseau au Children's Hospital of the King's Daughters de Norfolk. Bien
que très impressionné par la capacité des réseaux sociaux à faciliter les
relations entre les gens, il préfère en bloquer l'accès sauf si l'usage s'en
avère vraiment nécessaire.
« Attention à ce que vous publiez. »,
dit-il. « Je connais des utilisateurs qui publient tout et n'importe quoi sur
ces sites. Certaines fois, c'est à celui qui en mettra plus que les autres. »
Il pense que les enthousiastes des réseaux sociaux oublient parfois que ces
informations resteront accessibles pendant des années et qu'elles pourraient
revenir les hanter si un recruteur s'intéressait à leur passé numérique. Jamie
Gesswein croit aussi que les utilisateurs pourraient finir dans « un monde que
des personnes mal-intentionnées pourraient exploiter. ».
Gaby Dowling, responsable de
l'informatique pour la firme internationale Proskauer Rose, considère qu'il y a
des raions commerciales réelles à l'utilisation des sites de réseaux sociaux
tels que LinkedIn, mais elle a peur que des codes malveillants puissent être
diffusés facilement en abusant de la confiance des utilisateurs. « Le ver
Koobface s'est diffusé sur Facebook car vous pensiez recevoir quelque chose de
la part d'un utilisateur de confiance. », souligne-t-elle.
« Les réseaux sociaux s'accompagnent de
risques importants d'infection des systèmes par des codes malveillants. », pense
de son côté l'analyste Jonathan Gossels de SystemExperts. Il ajoute : « En ce
qui concerne la politique d'entreprise, les employés ne devraient pas visiter
les réseaux sociaux depuis les systèmes de production. »
Les réseaux sociaux sont en fait une « version numérique de la relation. »
estime Greg Hoglund, PDG de la firme HBGary et expert de sécurité qui a co-écrit
le livre "Exploiting Online Games" qui révélait comment les tricheurs pouvaient
manipuler les jeux en réseau tels que World Of Warcraft.
à l'instar d'une personne réelle
Des milliers d'applications tierces sont développées pour les réseaux sociaux,
et dans les grandes lignes, elles exposent toutes « des surfaces de
vulnérabilité pour des attaques préparées potentielles », affirme Greg Hoglund.
De plus, l'attaque potentielle est raccrochée à une version numérique d'une
relation humaine, quelqu'un que vous connaissez et à qui vous parlez tous les
jours, explique-t-il.
Ce qui veut dire que « la version numérique de cette personne peut être
facilement imitée ou exploitée. », et Doug Hoglund ne voit pas de solution
évidente à ce dilemme. « En un mot, ne croyez pas une identité virtuelle comme
vous croyez une relation humaine. »
« Les gens révèlent bien plus d'informations qu'ils ne le devraient. », poursuit
Gary Gordon, Directeur exécutif de l'AIMR (Applied Identity Management Research
pour Recherche appliquée sur la gestion des identités), une organisation
non-lucrative formée en octobre dernier par des universités, des agences
publiques et des industries afin d'explorer les problèmes clés liés à la gestion
de l'identité.
"Les risques de vols d'identités et de
social engineering (escroquerie et manipulations) à travers l'exploitation des
réseaux sociaux sont réels", affirme-t-il. Mais il ne voit pas le blocage des
réseaux sociaux comme une solution.
Eddie Schwartz, Directeur de la sécurité
chez NetWitness, a parlé des risques des réseaux sociaux lors de la récente
conférence Infosec. Il avait mentionné le vol d'identité, l'espionnage et les
codes malveillants comme des menaces potentielles.
« Une session typique d'un utilisateur de Facebook ou de MySpace va de quelques
minutes à plusieurs dizaines de minutes, vous pouvez donc écrire une application
qui récupère des informations personnellement identifiables. », explique
Schwartz.
De plus, il dit avoir vu des preuves
démontrant que des employés gouvernementaux utilisant des réseaux sociaux
étaient abordés par des personnes d'autres pays, leur demandant des informations
dans des objectifs d'espionnage.
L'ouverture proposée par beaucoup de sites de réseaux sociaux en fait des «
plateforme idéales à exploiter », précise-t-il.
Quand on en vient aux réseaux sociaux en ligne comme Facebook, « il faut éduquer
les gens qui ont des secrets pour qu'ils soient méfiants. », conseille Michael
Rochford, responsable de la direction des initiatives globales du bureau de
l'Intelligence et de la contre-Intelligence au département de l'énergie du
Laboratoire National d'Oak Ridge. « Ils vont d'eux-mêmes sur ces plateformes où
ils se feront exploiter. ».
Beaucoup d'entreprises, dont Lockheed
Martin qui crée son propre réseau social à usage interne uniquement, bloquent
les réseaux sociaux publics pour des raisons de sécurité.
Mais de nombreuses firmes aujourd'hui considèrent le fait de bloquer les réseaux
sociaux comme une mauvaise décision.
L'automatisation des systèmes de
sécurité est un concept important cette année. Bien que des progrès existent,
une automatisation complète semble irréaliste dans les années à venir.
L'automatisation des systèmes de sécurité est un concept important cette année.
La plupart des plus importantes agences fédérales américaines ( Département de
la défense, Agence de Sécurité Nationale, Agriculture et Energie, ...) insistent
pour une nouvelle orientation au-delà de l'actuel mandat d'audit FISMA de la
sécurité.
Elles veulent que le Congrès et que l'administration d'Obama considèrent
l'adoption des grandes lignes du Consensus d'Audit, un ensemble de 20 contrôles
de sécurité techniques qui encouragent l'automatisation.
Les domaines considérés comme
suffisamment matures, tels que les scans ou la prévention des intrusions,
peuvent être automatisés, estime l'analyste du Gartner John Pescatore. « Mais
parce que les menaces et les environnements technologiques changent rapidement,
l'automatisation de la sécurité est limitée. C'est bien d'en parler, mais en
réalité le bénéfice pour l'entreprise est réduit. », poursuit-il.
Cependant, certains responsables IT se
disent peu enthousiastes à l'idée d'acheter des produits ou services de sécurité
s'ils ne contribuent pas à l'automatisation.
« Nous sommes complètement automatisés en ce qui concerne la création des
identifiants. », annonce Mike Ruman, Responsable des communications et de la
messagerie d'entreprise chez Grant Thornton, une firme qui compte plus de 50
bureaux et 6 000 employés.
L'allocation de ressources (provisioning) automatique peut créer un identifiant
utilisateur en 8 minutes et assigner la personne à un groupe de sécurité basé
sur le code de son emploi et son département, dit-il.
La firme utilise le provisioning GroupID d'Imanami afin de se synchroniser avec
les ressources humaines et les bases de données des départements, ainsi que
l'annuaire de Microsoft, Active Directory, pour mettre à jour les privilèges en
ligne des employés toute les deux heures.
« S'il y a des changements, cela permet de garder l'information à jour, et
l'accès de l'utilisateur peut être fermé », dit Mike Ruman. Le maillon faible de
cette chaine - qu'il a vu arriver une fois - est que les ressources humaines
oublient de noter le départ d'un employé.
Mike Ruman remarque aussi que le processus d'auto-provisionning en place aide
les auditeurs car il est simple de générer des rapports. L'une des barrières
principales qu'il voit à l'automatisation de la sécurité est la politique de
l'entreprise, particulièrement les "guerres de territoire d'administrateurs",
lorsqu'ils se querellent à propos de tâches qui sont souvent manuelles.
Quoi qu'il en soit, les doutes à propos des perspectives pour la sécurité
automatisée abondent.
« Comme pour les voitures volantes, les
gens ont attendu une automatisation totale de la sécurité pendant des années. »,
commente Tracy Hulver, Vice-présidente exécutive du marketing et des produits
chez NetForensics, un éditeur de produit de gestion des évènements de sécurité,
aidant à automatiser la consolidation des données de sécurité et des journaux
d'historiques.
« Malheureusement, c'est quelque chose qui est à des années, peut-être
décennies, de pouvoir être réalisé. », regrette-t-il, ajoutant que
l'automatisation a joué sur certains aspects des questions de sécurité « mais
une intervention humaine est toujours requise pour pouvoir répondre de manière
appropriée. »
Vous pouvez poser toutes vos questions,
vos remarques et vos expériences à propos des 7 questions pour améliorer la sécurité de votre
entreprise. Pour cela,
rendez-vous sur le Forum
Sécurité.
Version 1.0, le 06 Mai 2009, par
Vivien Derest, création du document.
|
|