Tribunes

Protéger l'entreprise étendue

Protéger l'entreprise étendue

L'entreprise étendue a de quoi séduire. Mais il ne faut pas en négliger les risques.

PublicitéLes frontières n'ont plus cours dans le commerce. Les transactions commerciales s'opèrent désormais sur les postes de travail, entre les terminaux et les réseaux, à l'échelle mondiale. Les données et informations s'échangent sur tous types de systèmes, dans tous les pays et dans toutes les langues, par-delà les frontières. Le travail n'est plus un lieu où l'on se rend, mais une activité. Les chaînes d'approvisionnement doivent être interconnectées et optimisées à l'international pour satisfaire la demande des consommateurs et du marché.

L'entreprise étendue séduit par ses promesses d'un monde sans fuseaux horaires et de nouveaux modèles de distribution des services permettant d'améliorer la relation client, d'asseoir sa position et de gagner en productivité.

Mais ce nouveau modèle suppose également de distribuer et devoir gérer plus de données ; une multiplication des sources et points d'accès qui augmente les risques d'infraction. Car les données ne sont plus des ressources figées. Elles transitent sans cesse dans l'entreprise et en dehors. Tout l'enjeu est de gérer ce flux avec le maximum d'efficacité et de rapidité pour devancer la concurrence. En s'ouvrant à l'international, les entreprises multiplient donc leurs risques opérationnels, émanant de l'extérieur, mais aussi, de plus en plus, de l'intérieur, de tous ceux qui interviennent dans le flux de données et dans la chaîne d'approvisionnement, y compris les partenaires commerciaux, les fournisseurs et les utilisateurs des données.

Gérer les risques

Il est donc important d'appréhender la sécurité comme un processus continu et intégré, en accord avec les objectifs stratégiques de l'entreprise. Les vecteurs de menaces se diversifient et gagnent en sophistication, appelant la mise en oeuvre de mesures tout aussi variées et astucieuses.

Quel indicateur utiliser pour définir une bonne stratégie de gestion des risques ? Il faut tout simplement garder en tête que les efforts de sécurisation de l'infrastructure IT et des sources d'informations qu'elle renferme doivent être à la hauteur des coûts directs et indirects d'une infraction.

La gestion des risques exige des technologies, mais aussi des pratiques et systèmes qui permettent aux entreprises de protéger leurs données les plus précieuses et, ce faisant, de préserver leur chiffre d'affaire, leur image de marque, leur réputation et la confiance qu'elles inspirent à leurs clients. Il en va de leur pérennité.

Maîtriser les flux de données

Pour saisir les meilleures opportunités commerciales, les entreprises doivent faire preuve d'agilité et de rapidité. Mais elles doivent également s'adapter sans cesse aux nouvelles réglementations en vigueur, sans jamais perdre la maîtrise de leurs coûts ni transiger sur leur qualité de service.

PublicitéOr les données ne résident plus uniquement dans des bases de données. Elles entrent et sortent de l'entreprise, sont stockées dans des bases de données distantes, puis transférées vers des terminaux sans fil et mobiles où elles seront de nouveau stockées avant d'être retransmises. Et avec les législations sur la confidentialité des données, qui varient grandement d'un pays à l'autre et compliquent encore l'accès aux données et leur gestion, la classification des informations devient primordiale.

Toutes ces problématiques communes aux processus IT des grands groupes mondiaux doivent être résolues avant même d'aborder la question de la gestion des menaces.

La nature même des menaces évolue

La nature même des menaces évolue

Dans l'entreprise étendue, les menaces ne proviennent plus uniquement de l'extérieur, elles sont véhiculées par les applications, par les utilisateurs et par l'infrastructure IT elle-même. Aux attaques massives de réseaux, les cybercriminels privilégient désormais les attaques plus fines, ciblées et personnalisées.

L'édition 2012 du rapport Data Breach Investigation Report de Verizon (DBIR 2012) a fait le point sur plus de 855 enquêtes portant sur 174 millions de données compromises constatées dans 97 pays. Les conclusions révèlent que 97 % de la totalité des attaques auraient pu être évitées sans contre-mesures complexes, ni onéreuses pour l'entreprise.

Entre autres mesures simples pour mieux se protéger, ses auteurs recommandent de supprimer les données inutiles ; d'instaurer les contrôles de sécurité indispensables en veillant à ce qu'ils soient effectivement mis en place et en contrôlant régulièrement leur bon fonctionnement ; d'accorder l'importance qu'ils méritent aux journaux d'événements et, surtout, de fonder sa stratégie de sécurité en fonction de ses propres priorités, préalablement identifiées.

En effet, les entreprises doivent impérativement adopter une stratégie de sécurité centrée sur leurs propres processus et adaptée à leurs besoins spécifiques. Le principe numéro 1 est qu'il n'existe aucune stratégie générique qui conviendrait à tous. Les fournisseurs de technologies et de services de sécurité doivent concevoir des solutions adaptées aux exigences de protection et de distribution spécifiques de chaque client - externalisées à 100%, internes ou hybrides. Il est essentiel que la solution soit parfaitement alignée sur les besoins et contraintes de chaque entreprise et sur ses modes de fonctionnement.

L'équation du risque reformulée

Les entreprises d'aujourd'hui sont généralement confrontées aux quatre problématiques suivantes :
- Sécuriser l'entreprise étendue dans son ensemble : les réseaux internes, les Extranets, mais aussi les terminaux des salariés ;
- Satisfaire les obligations de gouvernance, de gestion des risques et de conformité, y compris rendre compte régulièrement des mesures de suivi des efforts de contrôle de la sécurité et de mise en conformité ;
- Protéger les données en circulation, les données stockées et les applications dont elles dépendent ;
- Sécuriser l'infrastructure pour protéger les objectifs stratégiques.

Il faut donc envisager la sécurité sous un angle radicalement différent. Les solutions de sécurité ne doivent pas être limitées par leur mécanisme de distribution. Pour que la gestion des risques soit efficace, et donc que la sécurité de l'information soit optimale, l'approche de la sécurité doit être intégrée. Cela suppose une visibilité des questions de sécurité plus globale, intelligente et en profondeur et des réponses judicieuses aux principaux enjeux de l'organisation.

Cette approche globale de la sécurité commence ...

Cette approche globale de la sécurité commence au niveau de l'utilisateur par la protection de tous les points d'accès aux données. Dans l'entreprise étendue, l'approche doit être plus large encore : dans un souci de rentabilité, il faut appliquer les contrôles de sécurité là où ils sont les plus utiles, en interne, bien entendu, mais aussi dans le Cloud, prolongement de l'entreprise étendue.

Bien gérer la sécurité nécessite aussi de sécuriser toute la pile IT en profondeur, à savoir le réseau, les données, les applications et les utilisateurs. La protection d'une couche de la pile ne suffit pas, il faut envisager l'ensemble des éléments comme étant constitutifs d'un tout intégré et appréhender les conséquences de toute compromission à un point donné de la pile dans le contexte bien plus large de l'entreprise étendue. Il ne s'agit plus de surveiller un périphérique ou un périmètre, mais bien d'agir en ayant conscience de la portée globale de l'entreprise.

Ceci nous amène à la troisième considération : l'approche plus intelligente de la sécurité. Autrement dit, accepter de fonder les décisions de sécurité sur l'évaluation des risques et non en réaction aux menaces et vulnérabilités, et chercher à obtenir des avantages quantifiables des systèmes et services implémentés. Il n'est pas forcément simple de mesurer "les résultats de la sécurité" dans un tel environnement mais les entreprises qui adoptent cette nouvelle culture ont toutes les chances de se maintenir plus facilement en sécurité.

Les entreprises qui adoptent cette approche sont en mesure d'exploiter pleinement le potentiel de leurs données, et peuvent réutiliser ces enseignements pour de futurs projets. L'objectif est que les entreprises puissent mener leur gestion du risque de la façon la plus rentable possible et exactement là où l'efficacité sera optimale.

La solution de sécurité idéale

La solution de sécurité idéale est développée autour du client. Elle regroupe des solutions de protection de l'information, de continuité des opérations et de maintien de la conformité, dans le cadre d'une gestion pleinement intégrée des menaces et des vulnérabilités, des identités et des accès, et des mesures de sécurité et de conformité.

Une telle solution doit fonctionner en continu et apporter une visibilité totale sur le cycle de vie de la sécurité, avec des contrôles en tous points, de manière à réduire systématiquement l'exposition aux risques. Elle doit s'articuler autour d'une infrastructure centrée sur le réseau et permettre de valoriser autant que possible les renseignements de sécurité obtenus. L'essentiel est que la solution permette d'analyser de très gros volumes de données pour que les entreprises puissent prendre les meilleures décisions en connaissance de cause.

Au final, la solution de sécurité idéale doit être source d'une réelle valeur ajoutée pour l'entreprise utilisatrice, soutenir ses objectifs stratégiques, et permettre de valoriser au maximum les actifs et investissements passés en assurant la protection des données et des flux de données à l'échelle de toute l'entreprise étendue.

Comment acquérir les connaissances nécessaires

Comment acquérir les connaissances nécessaires

Bien entendu, pour la plupart des entreprises il est difficile de remplir cet objectif faute de connaissances suffisantes et d'expertise en interne pour réussir l'implémentation d'une telle solution de sécurité. Pour bien comprendre l'ensemble des risques pour la sécurité d'une entreprise, il faut non seulement connaître l'ensemble des spécificités relatives à sa sécurité, mais aussi pouvoir critiquer objectivement et de façon constructive les pratiques alors en vigueur.

Cela explique l'actuel engouement des grands groupes mondiaux pour les services de sécurité managés. Plutôt que de devoir acquérir l'expertise en interne, ceux-ci trouvent plus simple, plus rapide et plus économique de solliciter l'expertise d'un tiers de confiance, laquelle devient un nouvel élément critique intégré à l'infrastructure de l'entreprise étendue.

Conclusion

Aujourd'hui les environnements d'entreprise, de plus en plus étendus, apportent leur lot de nouvelles menaces pour la sécurité, toujours plus sophistiquées et dangereuses. Dans ce contexte, mieux vaut abandonner les approches traditionnelles de la sécurité, ponctuelles, en réaction à une menace et devenues obsolètes, pour une approche plus globale incluant le périmètre physique interne ainsi que le Cloud, prolongement de l'entreprise étendue. Surtout, la nature complexe des questions de sécurité suppose de pouvoir compter sur des connaissances que peu de départements IT peuvent imaginer avoir un jour en interne.

Protéger l'ensemble des équipements, ainsi que les données au sein et en-dehors du périmètre est probablement l'un des défis les plus importants et urgents que doivent relever les entreprises. Leur réussite future dépend de l'efficacité avec laquelle elles vont y parvenir.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis