Comment se préparer à des attaques de sécurité complexes

Livre blancIBM Global Technology Services IBM Security Services

Comment se préparer à des attaques de sécurité complexesQuatre mesures que vous pouvez prendre dès à présent pour protéger votre organisation

2 Réagir à – et se remettre – d’attaques de sécurité complexes

IntroductionComme tant d’autres choses dans notre monde actuel, les cyberattaques – et ceux qui les commettent – se perfectionnent d’année en année. Parallèlement, les ressources informatiques sortent des limites du pare-feu et les entreprises distribuent leurs applications et données sur de nombreux périphériques. Il devient donc clair que la simple protection du périmètre d’une organisation ne suffit plus. Ces attaques complexes – qui incluent les menaces persistantes avancées (Advanced Persistent Threat ou APT) – contournent les défenses classiques.

Nous ne savons que trop comment les incidents de sécurité majeurs peuvent affecter les données, réseaux et la marque d’une société. Nous savons également que les attaques complexes, conçues pour obtenir un accès continu aux informations critiques ou endommager une infrastructure vitale, augmentent en intensité, en fréquence et engendrent des coûts de plus en plus élevés.

Sommaire

2 Introduction

3 Etape 1 : Classer vos objectifs métier par priorité et définir la tolérance aux risques

4 Etape 2 : Protéger votre organisation à l’aide d’un plan de sécurité proactif

7 Etape 3 : Préparer votre réponse face à l’inévitable : une attaque complexe

8 Etape 4 : Favoriser la sensibilisation aux risques de sécurité

10 N’attendez pas que votre société devienne une victime : commencez dès aujourd’hui

12 Informations complémentaires

Quel niveau de gravité ? Les attaques complexes peuvent avoir pour but de :• Voler de la propriété intellectuelle• S’approprier des comptes bancaires et d’autres actifs financiers• Propager des logiciels malveillants sur des ordinateurs

individuels ou à travers les systèmes• Publier des informations métier et/ou clients confidentielles

en ligne• Endommager une infrastructure vitale.

A quelle fréquence ? Une enquête de 2012 auprès de 2 618 chefs d’entreprise et praticiens de sécurité aux Etats-Unis, au Royaume-Uni, en Allemagne, à Hong Kong et au Brésil a révélé que ces entreprises subissaient en moyenne 66 attaques hebdomadaires ; les organisations situées en Allemagne et aux Etats-Unis signalant le nombre d’attaques le plus élevé : 82 et 79 par semaine, respectivement. Et dans leur rapport bimestriel de 2012, les équipes de recherche et de développement IBM X-Force notaient une tendance générale à la hausse des vulnérabilités, et prédisaient un éventuel pic sans précédent pour la fin de l’année.2

A quel prix ? Le coût moyen de récupération après une cyberattaque était estimé à près de 235 000 euros par les organisations sollicitées dans l’enquête 2012 ci-dessus.3 Ce qui pourrait se monter à près de 800 millions d’euros sur une année.

Qui plus est, nous savons que les personnes à l’origine de ces attaques complexes planifient sur le long terme et se montrent très patientes. Elles explorent et ciblent des vulnérabilités spécifiques. Et elles se concentrent davantage sur la destruction que sur l’exploitation pour l’instant.

IBM Global Technology Services 3

Identifier les domaines les plus vulnérables aux attaquesTout comme il existe des priorités pour la sécurité, il existe également des domaines plus vulnérables que d’autres. Il ne s’agit pas de pointer du doigt ou de blâmer. Au contraire, c’est l’occasion de voir les choses telles qu’elles sont – pour vous permettre de créer un environnement globalement plus sûr.

Identifier les types d’attaque qui constituent les plus grandes menacesLes attaques complexes sont conçues pour semer le plus de chaos possible et se traduisent en général par la perte ou l’utilisation malveillante de données critiques, l’interruption d’une infrastructure vitale, ou les deux. C’est pourquoi vous devez examiner les systèmes d’informations et métier critiques de l’entreprise du point de vue d’un attaquant. Puis vous devez vous poser la question : comment un attaquant s’y prendrait-il pour causer le plus de dégâts possible ?

Identifier les domaines qui subiraient les plus grandes pertes en cas d’attaqueC’est là que vous devrez affronter votre plus grand cauchemar. Si vous voulez élaborer un plan viable, vous devez connaître exactement les effets dévastateurs d’une attaque qui réussirait à frapper les endroits les plus vulnérables de l’entreprise.

Dans ce livre blanc, nous présenterons quatre étapes proactives que vous pouvez – et devez – mettre en œuvre dès maintenant pour protéger votre organisation :• Classer vos objectifs métier par priorité et définir la tolérance

aux risques• Protéger votre organisation à l’aide d’un plan de sécurité

proactif• Préparer votre réponse face à l’inévitable : une attaque complexe • Favoriser la sensibilisation aux risques de sécurité.

Etape 1: Classer vos objectifs métier par priorité et définir la tolérance aux risquesL’expérience de ces dernières années a clairement mis en évidence que « la sécurité » n’est que relative. En effet, quel que soit notre désir de créer une entreprise en permanence entièrement sécurisée, la réalité est tout autre. Néanmoins, la menace croissante d’attaques complexes exige que nous prenions au sérieux la sécurisation de nos informations et la protection de notre personnel et de l’infrastructure. Pour cela, il faut commencer par définir des priorités.

Déterminer ce qui est vital pour la sécurité de l’entreprise et pourquoiCela peut sembler évident. Mais prendre le temps de réellement réfléchir à vos objectifs métier et discuter de ce qui est le plus important – ainsi que du degré de risque que vous êtes prêt à tolérer – contribuera à jeter des bases solides pour une stratégie de sécurité qui répondra aux besoins uniques de toute l’organisation. Une fois cette ligne de référence établie, vous aurez déjà fait un grand pas dans la bonne direction.

Vous devez examiner les systèmes d’informations et métier critiques de l’entreprise du point de vue d’un attaquant.


Etape 2 : Protéger votre organisation à l’aide d’un plan de sécurité proactifA présent que vous connaissez vos priorités, le moment est venu d’élaborer vos plans, de mettre en place la bonne technologie et de tout déployer. C’est à ce stade que vous prenez les mesures pour vous assurer que votre entreprise connaît les menaces potentielles et s’efforce de se défendre face à elles de manière proactive – en permanence.

Elaborer une approche proactive et informée de la sécurité informatiqueDéveloppez une stratégie de sécurité avec des règles et des technologies conçues pour protéger de manière proactive les actifs et les informations identifiés comme prioritaires à l’étape 1. Armer votre organisation pour gérer avec succès ces vulnérabilités est une part essentielle d’une vision proactive de la sécurité. Les stratégies de sécurité que vous développez constitueront les bases de votre stratégie de gestion de la sécurité des données. Ces stratégies doivent formaliser vos exigences, processus et normes technologiques de sécurité. En prime, outre la détection et l’élimination des vulnérabilités, une stratégie de sécurité intelligente peut également améliorer les opérations métier en diminuant les risques et les coûts de gestion de la sécurité informatique.

Identifier les vulnérabilités existantes et les corriger Cela peut impliquer un processus aussi simple (mais gourmand en ressources) que s’assurer que chaque système d’exploitation sur chaque machine est à jour de ses correctifs de sécurité – et le restera. D’autres vulnérabilités sont plus difficiles à détecter et corriger, par exemple, les points faibles des applications métier.

Sites de jeux et de divertissement en ligné piratés, 100 millions d’enregistrements clients compromis

Coût estimé : 3 milliards d’euros

Victime : sites de divertissement et communauté de jeux en ligne

Ce qui s’est passé : une « intrusion externe » à un réseau de jeu s’est traduite par la compromission de 70 millions de comptes clients, mettant en danger les données personnelles et de carte de crédit. L’entreprise a dû geler les services en ligne durant l’enquête, ce qui a causé des réactions négatives du public et une mauvaise presse en général. Un deuxième piratage dans la division divertissement a compromis de nouvelles données client.

Pourquoi cela est arrivé : les pirates ont pu pénétrer la sécurité réseau et accéder aux données de comptes et utilisateurs non chiffrées voire même à certaines données de carte de crédit.

Les dégâts : outre, le ressentiment public généralisé, l’entreprise a dû faire face à des coûts supérieurs à 130 millions d’euros en perte d’activité et frais de réponse. La capitalisation boursière de la société a chuté d’environ 3 milliards d’euros et le cours de l’action a perdu 12 %.

Les leçons qu’il faut en tirer : apparemment, l’une des vulnérabilités exploitées était connue de la société. Les entreprises doivent s’appuyer sur une infrastructure pour gérer les risques associés aux actifs informationnels et établir des mécanismes de gouvernance renforcés pour soutenir cette infrastructure.

A titre d’information uniquement. Les faits réels et dommages associés à

ces scénarios peuvent différer des exemples fournis. Estimation basée

sur des informations financières publiques et les articles publiés.


En raison de l’évolution constante du paysage sécuritaire, il est tout aussi important d’implémenter des règles de tests et de révision réguliers.

Adopter une approche intelligente des informations de sécuritéComment maîtriser tout cela – sans que le service informatique soit constamment en état de panique ? Des outils de sécurité intérieure et d’analyse peuvent surveiller activement et tirer des corrélations à partir de l’activité des données provenant de plusieurs technologies de sécurité, vous offrant la visibilité et les connaissances de ce qui se passe dans votre environnement – pour vous aider à détecter et enquêter sur le type d’activité suspecte qui pourrait indiquer une attaque. Ils permettent de réduire la complexité en communiquant dans un même langage pour des environnements hétérogènes, tout en libérant votre service informatique, permettant à la fois des gains de temps et d’argent.

Développer des procédures de gouvernance et attribuer la responsabilité des risques Comme nombre d’autres choses, les programmes et stratégies de sécurité conçus pour vous défendre contre les menaces telles que les attaques complexes dépendent entièrement de l’aptitude de votre organisation à s’assurer que chacun respecte les règles. Vous devez donc avoir en place un plan pour rester maître de la situation sur le long terme. Cela implique de décider qui surveille et gère les stratégies de sécurité et comment vous allez prouver que votre stratégie face aux risques est maintenue. Assurez-vous que quelqu’un est responsable de votre programme de sécurité et que des interlocuteurs lui sont affectés dans les domaines métier vitaux. En étendant les responsabilités et la sensibilisation aux domaines clés à risques, vous générerez une meilleure compréhension et application des contrôles de sécurité que vous avez mis en place. Ce qui vous permettra de créer un environnement métier sécurisé.

Arbitrer les menaces existantes Etes-vous sûr que vous n’êtes pas déjà victime d’une attaque complexe ? Les attaques pernicieuses, telles que les APT (Advanced Persistent Threat), sont conçues pour rester invisi-bles aussi longtemps que possible, passant d’un hôte compromis à un autre, sans générer de trafic réseau identifiable. Au cœur de chaque APT se trouve une fonction de contrôle à distance, qui permet aux criminels de naviguer vers des hôtes spécifiques dans les organisations cibles, en manipulant les systèmes locaux et en obtenant un accès continu aux informations critiques. Pour vous protéger, vous devez disposer d’outils conçus pour détecter les communications par contrôle à distance entre votre système et l’envahisseur criminel.

Il est devenu plus important que jamais de prêter une attention particulière aux tests d’efficacité des stratégies, procédures et technologies de sécurité.

Tester, tester et encore testerL’émergence des attaques complexes s’accompagne de l’évidence que l’une d’entre elles frappera un jour votre organisation. Ce n’est qu’une question de temps. C’est pourquoi il est devenu plus important que jamais de prêter une attention particulière aux tests d’efficacité des stratégies, procédures et technologies de sécurité – car il s’agit d’un élément clé des exigences juridiques et réglementaires liées à l’obligation de prudence et de diligence. Pour tout manquement à ces exigences, les dirigeants sont tenus responsables des résultats d’une violation de sécurité.


Démontrer et documenter la valeur des investissements dédiés à la sécuritéIl est clair que votre organisation devra trouver les fonds nécessaires dans son budget pour créer et gérer un programme de sécurité efficace. Dans la mesure où il est très difficile de valoriser les attaques qui n’ont pas eu lieu, il est recommandé de communiquer en permanence sur ce que vous faites et pourquoi c’est important. En rendant compte des activités importantes qui ont ou auraient pu pénétrer les systèmes et les données critiques, par exemple, vous démontrez la valeur des investissements dans la technologie de sécurité, identifiez les lacunes, arrêtez les attaques en cours, découvrez des opportunités de rationalisation et inspirez la confiance dans votre approche.

49% des responsables informatiques avouent être dépassés par l’incapacité à mesurer l’efficacité de leurs efforts de sécurité actuels.4

Tout revoir pour s’assurer qu’il n’y a aucune lacune ni chevauchement inutileLorsque vous travaillez dans un groupe, chacun étant responsable de certains aspects d’un plan, il est facile de commettre l’erreur de supposer que quelqu’un d’autre a couvert ce que vous n’avez pas couvert. De même, il est tout aussi facile pour plusieurs personnes de traiter la même chose. Vérifiez donc toujours la clarté et l’exhaustivité finales – en veillant à prévoir les informations de sécurité, l’analyse et la surveillance, par exemple – afin de limiter toute complexité inutile, de réduire les coûts et de rechercher des opportunités pour simplifier la surveillance continue, la gestion et la prise de décision en temps réel par-delà les technologies.

Des données clients volées dans la distribution sur plus de 18 mois ; au moins 45 millions d’enregistrements volés

Coût estimé : plus de 700 millions d’euros

Victime : enseigne nationale de magasins discount

Ce qui s’est passé : apparemment, 45 millions de numéros de cartes de crédit et de paiement ont été volés dans le système de l’entreprise, bien que le nombre réel d’enregistrements volés soit difficile à déterminer, étant donné la durée et la nature de l’incident. Ces données ont été vendues à des criminels puis utilisées pour effectuer des achats frauduleux.

Pourquoi c’est arrivé : l’entreprise aurait collecté et stocké des quantités de données personnelles inutiles et excessives pendant des périodes trop longues et se fiait à une technologie de chiffrement obsolète pour protéger les données. Les pirates ont apparemment pu accéder initialement à la base de données centrale grâce à des connexions sans fil non sécurisées dans les magasins. Il s’est avéré par la suite que la société était en infraction par rapport aux normes de paiement de l’industrie.

Les dégâts : il s’agit de la plus importante violation de ce genre à obtenir une aussi vaste couverture médiatique. Outre les procès, amendes conséquentes et coûts de résolution, l’atteinte à la réputation et les coûts indirects sont difficilement mesurables.

Les leçons qu’il faut en tirer : une ré-évaluation régulière et périodique de l’infrastructure et des risques pour les données est une obligation car les menaces et technologies peuvent rendre obsolètes des protections qui étaient auparavant acceptables.





Etape 3 : Préparer votre réponse face à l’inévitable : une attaque complexe Une fois vos stratégies, procédures et technologies de sécurité implémentées au mieux de vos capacités, il convient de s’intéresser à la façon dont vous allez gérer une violation, le cas échéant. En réalité, comme un analyste a récemment observé, « la plupart des administrateurs de sécurité et des responsables informatiques dans les grandes entreprises comprennent que la question n’est pas de savoir si une violation se produira mais plutôt quand cela arrivera. »5

Mettre au point un plan de réponse détaillé et coordonnéUne organisation a besoin d’une stratégie et d’un processus à l’échelle de l’entreprise pour gérer sa réponse à un incident. Si vous avez déjà mis en place un plan, l’avez-vous testé récemment et en avez-vous déterminé l’efficacité ?

Votre plan de réponse à un incident doit indiquer comment arrêter une attaque, identifier ce qui est compromis (le cas échéant) et calculer l’incidence financière et sur la réputation. Il doit également comprendre des instructions pour communiquer avec les employés, toute personne dont les informations peuvent être compromises et les médias.

Assurez-vous d’avoir accès aux ressources et outils requis pour répondre rapidementPlus vous mettez de temps à remédier à une attaque, plus elle est susceptible de causer des dommages et donc d’être coûteuse. Qui plus est, environ 78% des cadres dirigeants qui ont répondu à une enquête sur les risque de réputation sponsorisée par IBM affirment qu’ils se remettent d’incidents relativement mineurs (tels qu’une panne de site Web) en moins de six mois. Mais la restauration de la confiance suite à une atteinte à la réputation due à la cybercriminalité prend plus de temps, en partie parce qu’il peut s’avérer plus difficile de faire passer le message selon lequel le problème a été entièrement résolu.6

Il est clair qu’avoir accès aux ressources ou compétences nécessaires pour répondre activement à des incidents de sécurité et enquêter est essentiel pour réduire leur impact. Si votre réputation est vitale pour pouvoir mener vos affaires et que vous découvrez que la nature de votre activité est susceptible d’augmenter le risque d’attaques complexes, il convient peut-être d’envisager une surveillance et une gestion continues des menaces. Cette approche a recours à une technologie conçue pour améliorer la défense, automatiser les réponses aux incidents et mener une analyse scientifique par rapport à une vaste gamme de menaces.

Adopter une approche cohérente de la désignation des responsabilités dans toute l’entrepriseAcceptez le fait que quasiment chaque entreprise sera un jour victime d’une attaque complexe. Assurez-vous que votre plan de réponse définit qui fait quoi – et comment chacun partagera les informations. La coordination à l’échelle de l’entreprise est vitale pour une détection, une résolution et un confinement efficaces. Il est important que chaque personne concernée ait un rôle à jouer – et le connaisse. Déterminez les mesures à prendre par chacun pour se préparer à réduire la survenue – et limiter la propagation – d’attaques complexes.

Avoir accès aux ressources ou compétences nécessaires pour répondre activement à des incidents de sécurité et enquêter est essentiel pour réduire leur impact.


Etape 4 : Favoriser la sensibilisation aux risques de sécuritéSécuriser le réseau d’une entreprise devient infiniment plus complexe à mesure que les informations proviennent de milliers de périphériques et de dizaines de services Web publics. Une enquête a révélé que 91% des utilisateurs de smartphones d’entreprise se connectent à la messagerie de l’entreprise, mais que seulement 1 sur 3 a l’obligation d’installer un logiciel de sécurité mobile.7 Dans un tel environnement, l’accès est facile pour toute personne concernée – y compris les cybercriminels.

Favoriser la sensibilisation aux risques dans toute l’entrepriseIl est temps de renforcer la mission de sécurisation de l’entreprise, depuis le personnel technique et ses machines jusqu’aux employés de l’entreprise, quels qu’ils soient, et à toute personne amenée à travailler avec l’entreprise. Comme chaque personne représente une violation potentielle, elle doit également faire partie du plan. Finalement, le succès repose sur la promotion d’une sensibilisation aux risques, dans laquelle l’importance de la sécurité sous-tend chaque décision et procédure à tous les niveaux de l’entreprise. Cela signifie que les procédures de sécurité liées aux données doivent devenir naturelles, comme fermer la porte à clé lorsque vous quittez la maison.

S’assurer que chaque employé sait ce qu’il a à faireChanger la culture d’une entreprise peut constituer un véritable défi. Mais si vous commencez par communiquer l’importance réelle de renforcer la sécurité et enseignez à chacun comment reconnaître et rendre compte d’éventuels problèmes de sécurité, vous faites déjà un pas dans la bonne direction.

Une société de paiement subit une intrusion au cœur de son activité, affectant 130 millions de clients

Coût estimé : jusqu’à 400 millions d’euros

Victime : société de paiement

Ce qui s’est passé : environ 130 millions de numéros de carte de crédit et de paiement ont été volés dans un système de traitement des paiements, résultant en des transactions frauduleuses.

Pourquoi est-ce arrivé : un logiciel malveillant aurait été introduit dans le système de traitement et utilisé pour collecter les données de paiement non chiffrées en transit pendant qu’elles étaient traitées par la société, au cours du processus d’autorisation des transactions. Les données de carte incluent les numéros de carte, les dates d’expiration et d’autres informations de la bande magnétique au dos de la carte de paiement.

Les dégâts : il s’agit là aussi d’une violation des données de grande ampleur et visible qui a été très médiatisée. La société aurait payé plus de 110 millions d’euros en coûts directs associés aux procès, indemnisations et frais. Et la capitalisation boursière aurait baissé de près de 400 millions d’euros au cours des trois mois qui ont suivi l’événement.

Les leçons qu’il faut en tirer : une réponse directe et franche à la crise a pallié la défection des clients. Les informations partagées et provenant d’une association de normes de l’industrie ont renforcé la sécurité de la société, lui permettant à terme de se remettre de sa perte de valeur marchande.





Les points forts de notre stratégie de sécuritéChez IBM, nous recherchons constamment l’équilibre entre améliorer le business et contrôler les risques. La réponse complète de la société inclut des mesures au niveau de la technologie, des processus et de la stratégie. Elle implique 10 pratiques essentielles.

1. Favoriser la sensibilisation aux risques, avec une tolérance zéro au niveau de l’entreprise lorsque des collègues sont négligents envers la sécurité. La direction doit en permanence communiquer ces changements à tous les niveaux, tout en mettant également en œuvre des outils permettant de suivre cette progression.

2. Gérer les incidents et y répondre : il est essentiel qu’au niveau de l’entreprise soit implémentées une analyse intelligente et des fonctionnalités de réaction automatisées. La création d’un système automatisé et unifié permet à une entreprise de surveiller ses opérations – et de réagir plus rapidement.

3. Défendre l’espace de travail : chaque poste de travail, ordinateur portable ou smartphone fournit une porte d’entrée potentielle aux attaques malveillantes. Les paramètres de chaque périphérique doivent être gérés et appliqués de manière centralisée. Et les flux de données dans l’entreprise doivent être classifiés et acheminés uniquement vers le cercle d’utilisateurs défini.

4. La sécurité dès la conception : l’une des plus grandes vulnérabilités des systèmes d’informations réside dans le fait d’implémenter les services en premier, puis de les sécuriser après coup. La meilleure solution consiste à intégrer la sécurité dès le début, et à effectuer des tests réguliers pour s’assurer de la conformité.

5. Rester clair et net : la gestion d’un méli-mélo de logiciels peut s’avérer pratiquement impossible. Dans un système sécurisé, les administrateurs peuvent effectuer le suivi de chaque

programme en cours d’exécution, et être sûrs qu’ils sont à jour, et disposer d’un système complet pour installer toutes les mises à jour et les correctifs au fur et à mesure de leur publication.

6. Contrôler l’accès au réseau : les entreprises qui canalisent les données enregistrées via des points d’accès auront plus de facilités à détecter et isoler les logiciels malveillants.

7. La sécurité dans le Cloud : si une entreprise effectue une migration de certains de ses services informatiques vers le Cloud, ces services en côtoieront beaucoup d’autres, et risquent même d’être confrontés à des fraudeurs. Il est donc important de disposer des outils et procédures pour vous isoler des autres et surveiller les éventuelles menaces.

8. Surveiller le voisinage : la culture de la sécurité d’une entreprise doit s’étendre au-delà de celle-ci et établir de meilleures pratiques parmi ses fournisseurs. Ceci est similaire au processus de contrôle qualité de la génération passée.

9. Protéger les joyaux de la société : chaque entreprise doit effectuer un inventaire de ses actifs vitaux, qu’il s’agisse de données scientifiques ou techniques, de documents confidentiels ou de données clients personnelles, et s’assurer qu’ils soient traités en conséquence. Chaque élément prioritaire doit être protégé, suivi et chiffré comme si la survie de l’entreprise en dépendait.

10. Savoir qui est qui : les entreprises qui gèrent mal le « cycle de vie des identités » opèrent sans visibilité et risquent d’être vulnérables aux intrusions. Vous pouvez répondre à ce risque en implémentant des systèmes méticuleux pour identifier les personnes, gérer leurs droits d’accès et les révoquer dès que les personnes quittent l’entreprise.


N’attendez pas que votre société devienne une victime : commencez dès aujourd’huiIBM X-Force a signalé un peu plus de 4 400 nouvelles vulnérabilités liées à la sécurité au premier semestre 2012. En supposant que cette tendance s’est poursuivie sur le reste de l’année, le nombre total de vulnérabilités prévu avoisinerait le nombre record de 9 000, atteint en 2010. En outre, le taux de vulnérabilités sans correctif au premier semestre 2012 était le plus élevé depuis 2008, selon IBM X-Force.

De nombreuses organisations ont été confrontées aux conséquences de fuites de mots de passe et de données personnelles. En outre, ces attaques deviennent de plus en plus complexes. Par exemple, en obtenant de petites quantités de données personnelles vitales sur les sites de médias sociaux publics,

des attaquants ont pu utiliser des artifices de manipulation sociale pour obtenir un accès illimité aux comptes ciblés. Ils ont même contourné une authentification à deux facteurs pour convaincre les opérateurs mobiles de déplacer la messagerie vocale d’un utilisateur. La question n’est pas de savoir si votre entreprise en sera victime, plutôt quand. En réalité, 61% des cadres dirigeants qui ont participé à la récente enquête IBM sur le risque de réputation et l’informatique ont affirmé que les violations et vols de données ainsi que la cybercriminalité représentent la plus grande menace pour la réputation des entreprises.8

Favoriser la sensibilisation aux risques

Gérer les incidents et y répondre

Défendre l’espace de travail

La sécurité dès la conception

Rester clair et net

Surveiller le voisinage

Protéger les joyaux de la société

Savoir qui est qui

La sécurité dans le Cloud

Contrôler les accès au réseau

Figure 1. 10 pratiques essentielles : un programme de sécurité réussi parvient à atteindre un équilibre entre flexibilité et innovation tout en conservant des garde-fous cohérents qui sont compris et appliqués dans toute l’organisation.

La question n’est pas de savoir si votre entreprise en sera victime, mais plutôt quand.

N’hésitez pas demander de l’aideOn peut facilement se sentir submergé devant ce qu’il faut mettre en œuvre pour protéger son organisation contre les attaques complexes. Cela implique en effet beaucoup de discussions, de réflexion et de préoccupations. Mais il suffit de s’y prendre étape par étape. Et vous n’avez pas besoin de faire le chemin seul.

Les consultants IBM Security Services peuvent vous aider à planifier, mettre en œuvre et gérer quasiment tous les aspects de votre stratégie de sécurité. Ce sont des professionnels extrêmement compétents en matière de sécurité qui ont acquis et affûté leurs connaissances à la fois dans les secteurs privé et public, travaillant dans la sécurité d’entreprise de pointe, les sections d’investigation du gouvernement, la police, ainsi que dans la recherche et le développement.


Outre des services de conseil, IBM a aussi contribué à définir des normes de responsabilité, fiabilité et protection en matière de services de sécurité gérés depuis 1995. Ces services sont conçus pour améliorer votre stratégie de sécurité, réduire votre coût total de possession et démontrer votre conformité en confiant la surveillance et la gestion de la sécurité à IBM, quel que soit le type de périphérique ou de fournisseur, 24h/24 ou selon les besoins.

IBM Managed Security Services peut fournir l’expertise, les outils et l’infrastructure dont vous avez besoin pour protéger les données des attaques Internet 24h/24, souvent pour seulement une fraction du coût nécessaire aux ressources de sécurité internes.

Commencez par une analyse gratuite de la sécurité de votre entrepriseA présent, vous commencez probablement à vous rendre compte du degré de vulnérabilité de votre société. Vous pouvez avoir un meilleur aperçu grâce à l’analyse gratuite de la sécurité de votre entreprise proposée par IBM Security Services. Voici comment cela se passe : IBM analyse jusqu’à 10 adresses IP ou un domaine Web de votre choix une fois par semaine, pendant 3 semaines, le tout gratuitement. Vous recevez une analyse détaillée des vulnérabilités détectées – classées par niveau de gravité – ainsi que des instructions pas à pas sur la façon d’y remédier. En outre, durant la période d’analyse, vous aurez accès au portail IBM Managed Security Services Virtual Security Operations Centre et à toutes les informations de sécurité et sur les menaces qu’il offre.

Que découvrirait une analyse de sécurité dans votre entreprise ?

Voici quelques exemples de résultats d’analyse de sécurité pour plusieurs types d’organisations, montrant le nombre moyen de vulnérabilités découvert juste après l’une des trois analyses hebdomadaires consécutives. Il n’est pas surprenant de découvrir que même les entreprises les plus sécurisées peuvent trouver des lacunes importantes, parfois sur plusieurs fronts. Dans l’environnement métier dynamique d’aujourd’hui, où les limites n’existent plus, il est plus que probable que vous trouviez au moins quelques vulnérabilités et lacunes.

Graves :

106

Modérés :

7

Critiques :

23

Graves :

86

Modérés :

11

Critiques :

17

Graves :

112

Modérés :

20

Critiques :

38

Graves :

112

Modérés :

20Critiques :

9

Université Compagnie d’assurances

Hébergeur Web virtuel

Municipalité

Compagnie IBM France17 Avenue de l’Europe92 275 Bois-Colombes Cedex

La page d’accueil d’IBM est accessible à l’adresse :ibm.com

IBM, le logo IBM, ibm.com et X-Force sont des marques d’International Business Machines Corp. déposées dans de nombreuses juridictions réparties dans le monde entier. Les autres noms de produit et de service peuvent être des marques d’IBM ou d’autres sociétés. Une liste actualisée de toutes les marques d’IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse suivante : ibm.com/legal/copytrade.shtml

Les autres noms de sociétés, de produits ou de service peuvent appartenir à des tiers.

Le présent document contient des informations qui étaient en vigueur et valides à la date de la première publication, et qui peuvent être modifiées par IBM à tout moment. Toutes les offres ne sont pas disponibles dans tous les pays dans lesquels IBM est présent.

Les exemples cités concernant des clients et les performances ne sont présentés qu’à titre d’illustration. Les performances réelles peuvent varier en fonction des configurations et des conditions d’exploitation spécifiques.

IBM ne donne aucun avis juridique, comptable ou financier, et ne garantit pas que ses produits ou services sont conformes aux lois applicables. Les utilisateurs sont seuls responsables du respect des lois et réglementations de sécurité en vigueur, en particulier les lois et réglementations nationales.

1 Ponemon Institute LLC, The Impact of Cybercrime on Business: Studies of IT practitioners in the United States, United Kingdom, Germany, Hong Kong and Brazil sponsored by Check Point Software Technologies, mai 2012.2 IBM X-Force, 2012 Mid-year Trend and Risk Report, septembre 2012.3 Voir la remarque 1 ci-dessus.4 Security Intelligence Can Deliver Value Beyond Expectations And Needs To Be Prioritized, une enquête réalisée par Forrester Consulting pour le compte d’IBM Global Technology Services, mai 2012.5 Publication de blog : ’Okay, Breaches Are Inevitable: So Now What Do We Do?’ par Paula Musich, Current Analysis, 20 juillet 2012.6 IBM Global Technology Services, Reputational risk and IT, septembre 2012.7 Kaspersky Labs, Enterprise Mobile Security Survey, décembre 2010. 8 Voir la remarque 6 ci-dessus.

© Copyright IBM Corporation 2013

SEW03029-FRFR-00

Pensez à recycler ce document

Informations complémentairesPour en savoir plus sur la façon dont IBM Security Services peut vous aider à réduire les coûts et augmenter votre protection faces aux menaces complexes, prenez contact avec votre conseiller ou partenaire commercial IBM ou consultez le site Web suivant : ibm.com/services/fr

Pour vous inscrire et demander une analyse de sécurité gratuite, rendez-vous sur le site : ibm.com/security-scan

http://ibm.com/legal/copytrade.shtml

http://ibm.com/services/fr

http://ibm.com/security-scan

Documents

Comment se préparer à des attaques de sécurité complexes