Comme le nettoyage des vitres, la sécurité informatique peut être une tâche ingrate, car cela se remarque seulement lorsque cela n'est pas fait. A l'ère de la virtualisation, du "Cloud Computing" et des smartphones, on se doit d'éviter certaines erreurs techniques et politiques. Notre confrère américain NetworkWorld décrit cinq erreurs à éviter en matière de sécurité.
1. Penser que la vision du business de votre organisation est la même qu'il a cinq ans
Ceci est totalement faux. Le pouvoir et l'influence des responsables de systèmes d'information et de la sécurité ont été rognés à partir du moment où l'entreprise a autorisé les employés à utiliser des appareils mobiles personnels au travail, et depuis qu'elle a poussé des ressources informatiques traditionnelles et d'autres applications en mode Cloud Computing, parfois sans prévenir les responsables informatiques.
Face à ces changements, il est conseillé aux managers des systèmes d'information d'être pro-actifs en introduisant des pratiques de sécurité raisonnables en ce qui concerne les choix des technologies qui évoluent rapidement. Ces choix sont parfois réalisés par des personnes extérieures au département informatique. Les missions des responsables informatiques peuvent être qualifiées de « missions-impossibles » mais ce sont les leurs, et elles peuvent conduire à la mise en place d'une nouvelle politique de sécurité afin d'identifier et de catégoriser les risques afin que les responsables de l'entreprise ne se fassent pas une fausse idée des enjeux.
2. Ne pas réussir à construire des relations qui fonctionnent entre le département informatique et les autres managers de rang élevé
Les équipes en charge de la sécurité informatique sont généralement petites par rapport au reste du département informatique. La sécurité informatique repose alors sur les équipes informatiques afin de s'assurer que les mesures de protection de base sont bien effectuées. Le professionnel en charge de la sécurité informatique doit avoir des connaissances spécifiques pointues et de bonnes certifications en poche (comme le CISSP), mais cela ne signifie pas pour autant qu'il est forcément admiré ou aimé - d'autant plus que les gens en charge de la sécurité sont généralement réputés pour être ceux qui disent "non" aux projets des autres personnes.
Par ailleurs, il ne faut pas penser que l'organisation de l'entreprise est telle que le directeur informatique est toujours le preneur de décisions. Un changement fondamental se produit. Le rôle du CIO en tant que dirigeant et décideur pour les projet IT est entrain de décroitre au profit des directeurs financiers qui ont le dernier mot.
NetworkWorld estime même que certaines preuves révèlent que les directeurs financiers n'apprécient guère les directeurs informatiques. Les idées des directeurs financiers en matière de sécurité ne dépasseraient pas les simples aspects de la conformité à la réglementation en vigueur. Le travail pour le professionnel de la sécurité doit être de communiquer, communiquer, communiquer.
3. Ne pas être conscient des problèmes de sécurité soulevés par la virtualisation
Les entreprises sont sur la route de la virtualisation de 80 % de leur infrastructure de serveurs. Les projets de virtualisation des PC de bureau sont quant à eux en augmentation. Mais la sécurité est à la traîne, beaucoup pensent encore à tort qu'elle se résout avec l'usage de réseaux virtuels VLAN. La réalité est que les architectures de virtualisation ont tout changé en ouvrant de nouvelles voies qui peuvent être exploitées par des pirates. Cela s'est déjà produit à de multiples reprises dans l'industrie informatique : des technologies révolutionnaires sont devenues disponibles mais une attention insuffisante a été accordée à l'impact sécuritaire qu'elles pouvaient avoir.
Certains produits traditionnels de sécurité, tels que les logiciels antivirus par exemple, ne fonctionnent pas bien sur des machines virtuelles. Les "appliances" matérielles peuvent présenter de nouvelles failles ou être invisibles sur le réseau et donc difficiles à contrôler. Aujourd'hui, les produits de sécurité spécialisés pour les environnements virtualisés arrivent enfin sur le marché - et les professionnels de la sécurité doivent comprendre s'ils doivent être utilisés ou pas. En parallèle, ces mêmes professionnels doivent tenir compte des évolutions en matière de sécurité des éditeurs tels que VMware, Microsoft ou Citrix. La virtualisation s'annonce très prometteuse en matière de sécurité pour améliorer le redémarrage de l'informatique en cas d'incident majeur.
Crédit photo : D.R.
5 erreurs à éviter en sécurité (MAJ)
4
Réactions
Notre confrère NetworkWorld revient de manière générale sur les cinq erreurs, techniques et politiques, qu'il ne faut pas commettre en matière de sécurité informatique. Il propose les conseils ad hoc aux directeurs des services informatiques et aux responsables de la sécurité.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
4 Commentaires
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Article apéritif trop général qui pourrait servir d'intro à une analyse plus profonde.
Signaler un abusL'article ne fait que souligner vaguement des problémes sans aborder même aussi vaguement les moyens ou réponses nécessairement existantes aux problématiques suggérées. A croire que les audits, le management, la conduite d'une politique de changement, la conduite de projet et la gouvernance informatique existent partout ailleurs que dans l'informatique!!! Quand à la virtualisation si elle ne résoud pas en tant que tel aux problémes de sécurité existants, elle fait partie d'un ensemble et est le plus souvent utilisée pour de la consolidation, de la disponiblité ou HA, intégrée dans des PRA et PCA... pour répondre en partie justement à des problémes de "sécurité" antérieurs.
Désolé d'en remettre une couche, mais il en reste encore : "Mais la sécurité est à la traîne, mais beaucoup pensent encore en faisant erreur que qu'elle se résout"...
Signaler un abusDe plus, le fond de l'article est vraiment TRES léger. Par exemple, sur la virtualisation, l'auteur ne cite aucun cas précis. Et pour cause : la virtualisation ne fait qu'exposer des problèmes de sécurité existants, mais n'en rajoute pas.
Sans vouloir être méchant, je pense que ce type d'article n'a pas sa place dans LMI.
Mise à jour effectuée, la version non corrigée a été publiée par erreur. La rédaction
Signaler un abusPardonnez ma cruauté mais cet article est bourré de fautes d'orthographe, de grammaire et de conjugaison élémentaires ce qui brise quelque peu la crédibilité de l'article. Ceci dit l'article reste superficiel sur la sécurité telle qu'elle est appliquée en entreprise.
Signaler un abus