Ces dérives, postulées depuis plusieurs années et avérées au fil des derniers mois, concernent en particulier le sentiment de sécurité perçu par la direction (d'une entreprise) de son S.I. parce qu'existe une Politique de Sécurité, éventuellement une certification ISO 27001 (rare en France) et, la plupart du temps, une "bonne vieille infrastructure à la papa" avec DMZ "reverse-proxyfiée/firewallée", sondes (bon point) et passerelles anti-spam/anti-virus.
Cette description caricaturale voire anachronique pourra peut-être faire sourire mais, pourtant, un certain conformisme angélisme régente encore trop souvent certaines DSI et/ou Directions. Et encore, je me garderai bien d'aborder les délicates problématiques de l'outsourcing, le blog ami CIDRIS s'en chargeant parfaitement par ailleurs !
Mais puisque jusqu'ici tout allait bien, quelle pouvait être la raison impérieuse de faire évoluer la vision, parfois éculée, de la sécurité : un centre de coût en lieu et place d'un investissement pour le présent et l'avenir ? Mais le temps technologique file également à toute allure et nous sommes en 2011. Les menaces ont profondément évolué ces derniers mois, elles sont devenues permanentes et protéiformes, avec de moins en moins en filigrane cette guerre économique globale anticipée puis vérifiée et enfin accélérée.
Tous ces éléments se vérifient quotidiennement et ne sortent pas d'un énième rapport ou de fumeuses recherches universitaires où des têtes bien faites (et certains services étatiques, louons les tous !) entretiendraient des discussions de salon ou pousseraient des cris d'orfraies, bien loin d'une réalité que seuls certains vaniteux décideurs maîtriseraient ?
Je me veux mordant et (légèrement ?) provocateur mais le monde, ces derniers mois, n'a pas évolué qu'à la télévision ou seulement du Maghreb à la côte est du Japon ! Changements brusques et accélération de l'histoire (catastrophes naturelles, évolutions politiques majeures, aléas économiques) portent en eux des effets qui se prolongent dans le cyberespace qui, lui aussi, possède la particularité de disposer de caractéristiques bivalentes : outils et armes sans distinction de protocole, seul l'usage tend à en indiquer la nature.
Plus clairement, le monde de l'entreprise a la fâcheuse (coupable ?) tendance d'utiliser des schémas et des recettes techniques (et parfois organisationnelles) qui sont de moins en moins adaptés aux menaces actuelles et émergentes. Les conseils délivrés par SparkyBlaze, issus de son expérience avérée et "(very) up to date" (à jour), impliquent sans aucun doute une profonde remise en cause de la stratégie* appliquée et des moyens mis en œuvre pour l'atteindre. Avec un investissement associé, plus ou moins important selon que l'on parle d'une TPE/PME ou d'une multinationale. Selon le secteurs d'activité et l'exposition aux risques, cet investissement se révélera probablement générateur d'économies à long terme. Pour les plus frileux, une bonne assurance peut aussi être le début d'une certaine sagesse...
Les conseils proposés par SparkyBlaze :
- Déployer une défense en profondeur
- Appliquer une politique stricte en matière de sécurité de l'information
- Faire des audits de sécurité réguliers par une expertise extérieure
- Utiliser des sondes IDS/IPS
- Sensibiliser vos dirigeants sur la sécurité de l'information
- Sensibiliser vos dirigeants sur l'ingénierie sociale
- Effectuer les mises à jour en temps et en heure (soft + hard)
- Disposer d'une veille sécurité quotidienne
- Laisser vos spécialistes se rendre à des conférences spécialisées en sécurité
- Embaucher des spécialistes qui connaissent réellement la sécurité
- Généraliser l'utilisation du chiffrement des données (avec de l'AES-256, par exemple) - Utiliser efficacement des filtres/outils anti-spam
- Garder un œil sur les informations laissées dans le domaine public (nota : à mon sens, le tri est à effectuer en amont)
- S'assurer que la sécurité physique (des sites et des locaux) est au niveau requis (sur le principe du "pourquoi blinder la porte d'entrée tandis que la fenêtre du salon reste ouverte ? :)
* ce changement de paradigme doit nécessairement commencer par une douloureuse mais salutaire remise en cause de certains schémas (sclérosés) de pensée. D'où la probable utopie de ce billet. Donc la moindre désillusion de son auteur !
