jeudi 3 mai 2012

Fondamentaux de la sécurité et défense en profondeur

Les praticiens de la sécurité ne le répéteront jamais assez : assurer un niveau de sécurité acceptable d'un (ou de plusieurs) Système d'Information ne peut et ne doit désormais plus reposer sur l'erreur originelle consistant à uniquement établir puis à se reposer sur une défense aux frontières.

Plus couramment connue sous le nom de défense périmétrique, celle-ci peut être considérée comme l'une des causes majeures de ce qui apparait comme l'échec (1) patent de l'industrie de l'informatique (au sens large). Cette industrie a imposé un modèle, non-remis en cause jusqu'à présent, truffé de vulnérabilités et d'interactions logicielles, souvent non-maîtrisées, accompagnées d'errements technologiques. L'ensemble concourant à conforter un juteux business

Ces dernières années, nombre de responsables d'entreprises et de conseils d'administration ont appris à leurs dépens que traiter la sécurité comme la 5ème roue du carrosse ou comme une variable d'ajustement, au profit d'autres départements (2), pouvait causer un tort en terme d'image de marque ou, pire, leur coûter beaucoup d'argent (3). De fait, l'alpha et l'oméga gravitent quelque part du côté de ces deux règles : 1) le retour aux fondamentaux ("Back to basics") souligné par le Directeur général de l'ANSSI en 2011 aux Assises de Monaco 2) la défense en profondeur indispensable pour empêcher de se faire "trouer" son S.I. même et peut-être surtout par un script-kiddie.

A l'heure actuelle, c'est peut-être ce que se disent les responsables de l'entreprise Blue Cross Blue Shield of Tennessee (espérons-le) ?! Cette compagnie d'assurance médicale américaine n'a rien trouvé de mieux que de se faire voler une cinquantaine de disques durs, évidemment non chiffrés, contenant les dossiers de plus de 1 million d'assurés. Ces disques étaient, là aussi évidemment, stockés dans une pièce sans aucune mesure d'accès restreint ou protégé. Nous ferons ici l'économie d'évoquer des mesures organisationnelles, complémentaires aux deux mesures techniques précitées et qui, mises en œuvre, auraient probablement pu éviter ce type d'incident. Qui, sachez-le, se produit plusieurs fois par jour et dans de nombreux pays...

(1) le lecteur averti s'en référera à l'excellente série consacrée au sujet sur le site de l'Alliance Géostratégique
(2) probablement utiles voire stratégiques mais pas nécessairement vitaux (au contraire du S.I., justement
(3) Sony appréciera sans doute !
Publié par à
Libellés : , , , , , , , , , , , , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)