Alexandre Laquerre Sécurité Linkbynet

Sécurité informatique LINKBYNET

L’importance de la cybersécurité dans l’industrie d’aujourd’hui

par Alexandre Laquerre

 

Travailler dans le domaine de l’informatique, ou n’importe quel domaine d’ailleurs, vous plonge dans un monde de diplomatie et de relations humaines. Je parle de diplomatie parce que le domaine de l’informatique est si varié, en termes de professions et de responsabilités, qu’il crée souvent des fractures naturelles entre les départements. L’exemple est facilement vu entre les administrateurs système et les programmeurs, qui même s’ils ont les mêmes objectifs, seront souvent en désaccord sur la manière de l’atteindre.

Qu’en est-il du département de sécurité TI de qui est souvent perçu comme une dépense dont on ne peut pas palper les résultats et pourtant indispensable ?

 

L’acceptation du risque : À quel niveau pouvez-vous toléré d’être compromis?

Une des bases de la sécurité est d’élaborer des procédures et politiques d’entreprise pour harmoniser les relations entre employés afin de créer un standard de communication. Pour ce faire, il est toutefois nécessaire de définir une charte de risque pour faire une distinction entre ce qui est critique de ce qui est comme l’on dirait en anglais : « Nice to Have ».

Le risque est le seuil de tolérance acceptable avant qu’une entreprise déclare qu’elle est en situation de crise. La menace est ce que nous visons à éviter pour ne pas encourir le risquer d’avoir une perte, un bris ou un abus des ressources internes ou d’un client. Le risque est donc la conséquence lorsqu’une menace n’a pas été évitée.  Malheureusement, en raison de la demande en ressource pour évaluer, créer et finalement maintenir de telle charte est souvent perçue comme une perte d’argent.

 

La sécurité TI est une préoccupation majeure : construire une solution globale plutôt que temporaire

La sécurité est une préoccupation pour chaque industrie. Les temps modernes de la sécurité dans les TI telles que la cybersécurité, la cyberfraude ou les cyberattaques sont déconcertantes pour de nombreuses industries car elles ne savent pas ce qu’elles doivent déployer pour être protégées.

Avoir un antivirus est idéal pour protéger votre ordinateur si le reste de votre réseau est également protégé. Si votre ordinateur est ouvert à l’accès à distance et que vos mots de passe sont composés de moins de 6 caractères avec des lettres minuscules seulement, c’est le début de vos problèmes avant même de rechercher d’autres failles. Si votre personnel se rend souvent sur des sites Web non fiables avec des tonnes de Logiciel espion et de logiciels malveillants … vous avez un problème encore plus grand.

Comprendre la sécurité est une chose que la plupart d’entre nous peuvent entendre, construire une architecture sécurisée soutenue par des procédures et des politiques est un défi totalement différent dont beaucoup d’industries ne semblent pas être prête à s’investir alors qu’elle est indispensable.

Quelques chiffres :

  • Il faut 9 semaines pour réparer les dégâts causés par une cyberattaque
  • 35% des incidents ont été générés malgré eux – par des collaborateurs
  • Pour une entreprise de 100 employés et moins, se remettre d’une violation de sécurité coûte au minimum 30 000$

Évaluer l’efficacité de la sécurité semble difficile et pourtant…

L’idée d’embaucher des ressources internes ou externes en sécurité est souvent perçue comme un investissement qui ne rapporte pas un véritable avantage.  La raison se trouve dans les métriques de performances traditionnelles qui sont souvent appliquées par les équipes de gestion qui doivent expliquer de manière concrète l’existence de son équipe.

Pourtant, le but d’une équipe de sécurité est d’éteindre les incendies qui n’ont pas encore commencé, ce qui n’est pas facile à quantifier avec les métriques de performance et a donc souvent la réputation d’être un puits sans fond dans lequel vous injectez de l’argent.

L’investissement en sécurité est un sujet qui peut facilement devenir très flou comme la Philosophie. Il faut donc repenser ces métriques pour transformer cette confusion en fait concrète pour justifier l’investissement en sécurité.  Ensuite, il sera plus facile d’encourager une plus grande collaboration entre les départements au sein de l’entreprise, mais aussi de comprendre que la sécurité n’est plus uniquement la responsabilité de quelques spécialistes, mais au contraire une responsabilité globale de toutes les ressources.

 

Les investissements dans la sécurité de l’information restent faibles tandis que les menaces augmentent

Trop souvent, la solution contre une faille est essentiellement de trouver la solution qui est la moins dispendieuse pour éviter le sujet. Les solutions en sécurité de base qui se sont très bien vendues n’offrent qu’une protection relative. En effet elles ne permettent pas de collaboration entre les services. Les acheteurs pensent à tort que cela les protège de tout dommage ou risque sur l’ensemble de leur réseau.

Développer une structure de sécurité de l’informatique requiert une main d’œuvre qualifié mais aussi une volonté de se redéfinir en tant qu’entreprise pour s’adapter aux nouvelles contraintes. Il n’est plus possible de simplement rajouter une caméra web dans la salle de serveur en se disant que nous avons sécurisé les lieux, il faut aussi garantir que cette caméra est dans un réseau segmenter.

Malheureusement les montants investis dans le domaine de la cybersécurité sont encore relativement faibles, ce qui est étonnant étant donné la quantité quotidienne de vulnérabilités et de menaces sur les marchés et dans le monde. Et c’est n’est que le début cela va aller en crescendo tout comme l’évolution de la technologie.