Embed Size (px)
Citation preview
Jea
n-Fr
anço
is F
erl
and :
:::
La quantité et l’importance de l’information numérique progres-sent dans les organisations, mais
les menaces envers celle-ci évoluent plus rapidement. Se soucie-t-on assez de la sécurité de l’information?
Vu le caractère essentiel des données dans un contexte d’affaires, les organisa-tions québécoises doivent se préoccuper plus que jamais de la sécurité de l’infor-mation. Or, il reste encore du chemin à parcourir. Non seulement des organi-sations n’appliquent pas la sécurité de base de façon optimale ou n’ont pas de politique officielle, mais elles n’adap-tent pas leurs pratiques aux nouveaux enjeux tels que les menaces persistantes avancées, les logiciels malveillants ciblés et l’ingénierie sociale.
Michel Cusin, de la firme Cusin Sé-curité à Québec, constate que la sécurité de l’information n’occupe pas encore la place qu’elle devrait prendre dans les organisations. « C’est un mal nécessaire, un centre de coût, quelque chose de secondaire tant et aussi longtemps que quelque chose de grave n’est pas arrivé. Tout le monde en parle, tous ont un pare-feu et un antivirus et disent avoir une politique de sécurité, mais nous sommes dix ans en arrière sur ceux qui attaquent. Les gens ont encore le même discours qu’à l’époque, mais le paysage a changé. »
« Les grandes organisations au Québec sont bien organisées ou le sont de mieux en mieux, observe Michel Boutin, de la firme In Fidem à Montréal.
La situation est plus nuancée du côté des entreprises de moyenne taille, alors qu’on manque de personnel et que la sensibilisation de la direction n’est pas élevée. La plupart des petites entreprises sont plutôt vulnérables, se sentent moins visées et manquent de moyens. »
Dave Martin, le vice-président et responsable de la sécurité chez le four-nisseur technologique EMC, siège au conseil Security for Business Innovation Council qui est composé de responsables de la sécurité de l’information au sein de grandes organisations mondiales. Depuis trois ans il observe que les organisations sont plus disposées à discuter de ce qu’elles devraient faire et semblent poser des gestes tangibles. « Toutes n’ont pas atteint les mêmes niveaux de sécurité,
SÉCuRITÉ De L’InfoRMATIon : L’IMPoRTAnCe Du RÉveIL DeS oRGAnISATIonS
Directioninformatique.com - Mars/Avril 2013 12
doss
ier
::::
Mars/Avril 2013 - Directioninformatique.com
indique-t-il. Certaines organisations qui ont un programme élaboré sont actives et d’autres qui se "réveillent" tentent d’en faire autant. Le changement ne survient pas du jour au lendemain, mais des entreprises désirent établir un programme de sécurité en plusieurs couches, avec de la profondeur, qui leur permettra d’être en mode défensif et de poser les bons gestes. »
Insouciance et inattentionAlors que des organisations ont recours à des ressources humaines et technolo-giques et effectuent constamment de la veille en sécurité de l’information, pour d’autres le sujet ne constitue pas une source de préoccupation. Pourtant, l’argument voulant qu’une organisation suscite peu l’intérêt des malfaiteurs numériques en raison de sa taille, de son marché ou de son positionnement géographique ne tient plus la route. Les recherches à l’aveugle de brèches sont une réalité qui ne met aucune organisa-tion à l’abri d’une intrusion malicieuse à des fins directes (obtenir des données) ou indirectes (établir un réseau zombie pour attaquer ailleurs).
Un aspect inquiétant réside dans l’ignorance des organisations qu’elles peuvent faire l’objet d’une brèche à leur insu depuis un bon moment. Michel Cusin évoque un rapport de l’entreprise de sécurité américaine Mandiant, paru en 2012 où l’on affirme que seulement 6 % des attaques informatiques sont identifiées par l’organisation même. « Donc 94 % des attaques avaient été découvertes ou annoncées par des tiers. Les gens ne savent pas ce qui se passe à l’intérieur de leur réseau », souligne-t-il.
D’autre part, si le responsable des technologies de l’information obtient l’attention de la direction d’une orga-nisation, le responsable de la sécurité de l’information n’a pas nécessaire-ment le même privilège. Parfois c’est le responsable des TI qui porte le cha-peau, ce qui peut entraîner des conflits d’intérêts. Parfois, la responsabilité se trouve à deux ou trois niveaux sous le niveau du responsable des TI et de la direction de l’organisation. Michel Boutin explique que le responsable de
la sécurité de l’information doit passer à travers plusieurs filtres et qu’un choc budgétaire se produit lorsqu’il a des solutions à proposer, car son supérieur a d’autres priorités. À son avis, un enjeu de crédibilité empêche la fonction de la sécurité de l’information de s’élever dans l’entreprise.
« Historiquement, tant que le chef de l’informatique n’a pas réussi à montrer sa valeur, il n’a pu monter dans l’organisation. Mais cette recon-naissance de valeur impliquait aussi une démonstration de valeur de sa part. Les responsables de la sécurité de l’infor-mation sont rendus au même point.
Ils doivent parler de la valeur de gérer les risques dans une perspective où les gestes posés apporteront de la valeur à l’entreprise. »
Mettre la sécurité à l’avant-planAlors que des technologies comme l’infonuagique, les données volumineu-ses, les médias sociaux et la mobilité suscitent l’intérêt des organisations, l’in-tégration de ces éléments à l’entreprise peut amplifier les risques si la sécurité de l’information n’est pas considérée dès l’amorce d’un projet d’intégration. Selon Dave Martin, l’organisation doit changer d’approche.
« Vu ce que les organisations veu-lent faire présentement implique plus d’agilité que jamais, la complexité de l’infrastructure de sécurité traditionnelle rend la chose difficile puisqu’elle obstrue et exerce un contrôle autoritaire, affirme-t-il. Il faut une approche nouvelle où le défi est d’appliquer la sécurité de façon efficiente et rapide sans tuer la souplesse de l’organisation. Comment peut-on utiliser la technologie d’une façon sécuri-taire dès le départ? »
« Les moyennes et les grandes entre-prises se sont dotées d’outils de préven-tion et d’identification des vulnérabilités et des menaces et la sensibilisation des employés a été améliorée, mais les organisations sont plus vulnérables face aux nouvelles tendances qui sont des vecteurs de maliciels actifs, comme le BYOD, ou bien de vandalisme, comme l’usurpation d’identité dans les médias sociaux. La meilleure défense est d’avoir un système de gestion de crise et de réaction rapide, pour prévoir les coups et minimiser les dégâts », souligne M. Boutin.
La sécurité de l’information étant un sujet complexe qui évolue constam-ment et qu’on ne peut traiter briève-ment, il est impératif pour les organi-sations québécoises d’y accorder une grande attention, et ce en tout temps. « Des organisations sont confortables dans leur position en se disant qu’elles ont dépensé ixe milliers de dollars pour la sécurité et qu’elles sont "correctes", mais la sécurité ne n’achète pas, elle se construit », affirme Michel Cusin.
« Plusieurs ont un faux sentiment de sécurité parce qu’elles ont des équipes et des solutions en place, mais leur pré-sence ne garantit pas nécessairement que le travail est bien fait, poursuit M. Cusin. Aussi, elles n’ont pas encore eu une grosse brèche qui les a rendues conscientes de ce qui s’est passé. Or, le travail d’un bon attaquant, c’est de ne pas se faire prendre... »
Tout le monde en parle, tous ont un pare-feu et un antivirus et disent avoir une politique de sécurité, mais nous sommes dix ans en arrière sur ceux qui attaquent. Les gens ont en-core le même discours qu’à l’époque, mais le paysage a changé. — Michel Cusin
Directioninformatique.com - Mars/Avril 2013 13
doss
ier
::::
Plaidoyer pour la sécurité de l’information en interneDes comportements à l’intérieur d’une organisation qui touchent à la sécurité de l’information peuvent avoir d’im-portantes répercussions pour l’entre-prise, affirme l’avocate Katerine Poirier.
Article complet : bit.ly/10PkLNM
