En dépit de la multiplication des menaces, l’accent au sein du SI est essentiellement mis à la performance et à la disponibilité, ne laissant qu’une faible importance à la sécurité. Pourquoi ?

Tout simplement parce que nous sommes dans un monde de consommation où l’objectif est de faire du profit. Il n’est donc, dans l’esprit de nombreuses personnes, pas nécessaire d’investir dans la sécurité mais plutôt dans des outils permettant de gagner du temps. Ceci est une très grave erreur car c’est à la fois la réputation de l’entreprise est en jeu mais également les informations qu’elle conserve (et notamment les informations personnelles qui concernent les utilisateurs).

Penser la sécurité en amont

Il est temps de penser « sécurité » lorsqu’un nouveau projet est développé au sein du SI. Depuis les années 2010, une nouvelle technologie est apparue sur le marché pour prévenir au maximum ces nouvelles menaces que l’on connait communément sous le terme d’APT (Advanced Persistent Threat).

Mais celles-ci ne sont pas les seules à faire des dégâts, d’autres ont été découvertes et rendues publiques récemment comme Red October (attaque mondiale de cyber-espionnage basée sur le vol d’informations qui sévit depuis plus de 5 ans), Stuxnet ou encore MiniDuke (attaque mondiale de cyber-espionnage utilisant Twitter). Ces menaces de « nouvelle génération » posent de vrais problèmes en terme d’image et de réputation aux entreprises et surtout des problèmes de fuite de données.

Quelques exemples de vols de données qui auraient pu être évités en investissant quelques centaines de milliers d’euros dans la sécurité :

Pourtant des solutions de sécurité évoluées existent

Des éditeurs se sont spécialisés sur la protection face à ce type de menaces. Parmi les solutions, les plus pertinentes aujourd’hui permettent d’analyser les requêtes à destination des machines au sein du SI (que ce soient des serveurs ou des postes clients) afin d’analyser leur contenu et leur comportement.

Si le comportement ou le contenu est suspect, la solution se charge de simuler ces requêtes en sandbox pour en définir le niveau de gravité et les bloquer le cas échéant. Il est alors possible, grâce à ces solutions, de repérer notamment des communications C&C (Command and control), des 0-Day, des exfiltrations de données, etc. D’autres solutions permettent de sécuriser les accès aux données en gérant les permissions ou encore en donnant une visibilité sur l’infrastructure. Des technologies permettent également de protéger les bases de données en bloquant les accès non autorisés par exemple.

Un grand nombre d’outils de sécurité existe et qui, combinés, doivent permettre d’assurer une sécurité à plus de 95 % de l’infrastructure d’une entreprise. Le risque zéro n’existe pas (comme dans tous les domaines) mais il est possible de s’en approcher. Pourquoi faire une économie de quelques centaines de milliers d’euros lorsqu’un défaut de sécurité peut coûter des millions voire des milliards ? 

En tant que responsables de la sécurité du système d’information, il est du devoir des RSSI de mettre en place toutes les structures nécessaires à la protection de leur infrastructure, en réussissant notamment à convaincre les décideurs du bien-fondé d’investir dans ces nouveaux outils de protection, ce qui n’est pas une mince affaire en ces temps de crise. Et même si de nombreux progrès ont été effectués ces cinq dernières années, il reste encore beaucoup de chemin à parcourir.

Frédéric Tiratay, consultant sécurité réseaux chez Nomios

Frédéric Tiratay, consultant sécurité réseaux chez Nomios