Comment les personnes occupant le poste de responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (RSSI), ou une position \u00e9quivalente, voient la cybers\u00e9curit\u00e9\u00a0? Quels probl\u00e8mes rencontrent-ils\u00a0? Kaspersky Lab a demand\u00e9 \u00e0 250 responsables de la s\u00e9curit\u00e9 du monde entier de r\u00e9pondre \u00e0 ces questions. Leurs opinions sont particuli\u00e8rement int\u00e9ressantes, m\u00eame si je dois dire que je ne suis pas enti\u00e8rement d\u2019accord avec tous mes coll\u00e8gues.<\/p>\n
Analysons les questions relatives \u00e0 la mesure des indicateurs cl\u00e9s de performance pour un RSSI. Il n\u2019est pas surprenant de voir que la plupart des personnes interrog\u00e9es ont dit que le principal crit\u00e8re de leur travail est la qualit\u00e9 et la rapidit\u00e9 dans la gestion des incidents informatiques. Dans les entreprises modernes, les gens ont tendance \u00e0 oublier que les incidents informatiques sont des failles de s\u00e9curit\u00e9. Il est bon de voir que la plupart des experts commencent \u00e0 comprendre que certains incidents sont in\u00e9vitables, voire normaux. De nos jours, la cybers\u00e9curit\u00e9 concerne avant tout la survie de l\u2019entreprise.<\/p>\n
Lorsque je parle de survie, je veux dire un niveau de protection qui, en cas d\u2019attaque des menaces persistantes avanc\u00e9es (APT)<\/a>, de fuite de donn\u00e9es, ou de DDoS tr\u00e8s grave, peut permettre \u00e0 l\u2019entreprise de se remettre sur pied sans avoir subi de dommages importants, ou sans avoir perdu plus que le seuil minimal pr\u00e9d\u00e9fini. En d\u2019autres termes, les RSSI actuels se concentrent principalement sur la gestion des incidents.<\/p>\n D\u2019une part, c\u2019est tr\u00e8s bien. Il y a quelques ann\u00e9es, l\u2019id\u00e9e d\u2019une cyberprotection avec un \u00ab\u00a0risque z\u00e9ro\u00a0\u00bb dominait, et les entreprises pensaient que les RSSI devaient pouvoir prot\u00e9ger l\u2019infrastructure des incidents avec une garantie absolue. D\u2019autre part, il n\u2019est pas mieux de se concentrer uniquement sur les technologies r\u00e9actives. Selon moi, les RSSI doivent trouver le juste milieu. Tous les \u00e9l\u00e9ments de l\u2019architecture de la s\u00e9curit\u00e9 adaptative<\/a> sont importants\u00a0: pr\u00e9vention, d\u00e9tection, r\u00e9ponse, et pr\u00e9vision.<\/p>\n La plupart des RSSI sont d\u2019accord pour dire que l\u2019atteinte \u00e0 la r\u00e9putation est la menace la plus importante lorsqu\u2019une entreprise a \u00e9t\u00e9 victime d\u2019une br\u00e8che. Je suis enti\u00e8rement d\u2019accord. J\u2019aurai r\u00e9pondu exactement la m\u00eame chose. L\u2019atteinte \u00e0 la r\u00e9putation est \u00e0 l\u2019origine de toutes les autres cons\u00e9quences de l\u2019incident\u00a0: chute en bourse, de la confiance des clients, des ventes, et ainsi de suite.<\/p>\n C\u2019est \u00e0 cause de la r\u00e9putation que nous n\u2019entendons pas parler de la majorit\u00e9 des incidents en mati\u00e8re de s\u00e9curit\u00e9. Si une entreprise peut cacher un incident informatique, elle le fait, m\u00eame si dans certains pays, les lois exigent que les entreprises communiquent toutes les informations relatives aux probl\u00e8mes de s\u00e9curit\u00e9 \u00e0 leurs actionnaires, ou \u00e0 leurs clients.<\/p>\n Apparemment, les RSSI voient certaines diff\u00e9rences dans les intentions des cybercriminels, et peuvent dire s\u2019il s\u2019agit d\u2019attaques commandit\u00e9es par un \u00c9tat, ou de crimes int\u00e9ress\u00e9s par l\u2019argent. Dans mon cas, je dirai que les attaques de l\u2019int\u00e9rieur sont les plus importantes. Ce sont les plus dangereuses en termes de pertes, et l\u2019exp\u00e9rience a montr\u00e9 qu\u2019un employ\u00e9 malhonn\u00eate peut \u00e9ventuellement causer beaucoup plus de d\u00e9g\u00e2ts que des malfaiteurs externes.<\/p>\n Il \u00e9tait int\u00e9ressant de voir comment les responsables de la s\u00e9curit\u00e9 participent aux d\u00e9cisions prises par l\u2019entreprise. J\u2019ai \u00e9t\u00e9 surpris d\u2019apprendre qu\u2019ils ne se sentent pas tous suffisamment impliqu\u00e9s. Mais que consid\u00e8rent-ils comme \u00ab\u00a0correct\u00a0\u00bb\u00a0?<\/p>\n Il existe principalement deux strat\u00e9gies. La s\u00e9curit\u00e9 peut contr\u00f4ler toutes les d\u00e9cisions de l\u2019entreprise, puisqu\u2019elle valide chaque pas. Ou alors, ces experts peuvent travailler comme consultants, si l\u2019entreprise leur demande par exemple s\u2019il est bien de faire les choses de telle fa\u00e7on.<\/p>\n Au premier abord, il semble plus efficace d\u2019avoir un contr\u00f4le total, et ce serait le cas si la cybers\u00e9curit\u00e9 \u00e9tait en objectif en soi. En r\u00e9alit\u00e9, cette approche exige beaucoup plus de personnes, et ralentit le d\u00e9veloppement de l\u2019entreprise. Cela peut \u00eatre un r\u00e9el d\u00e9fi pour les entreprises innovantes qui utilisent des processus op\u00e9rationnels qui n\u2019ont pas encore mis en place les meilleures pratiques en mati\u00e8re de protection.<\/p>\n J\u2019ai \u00e9t\u00e9 contrari\u00e9 par les r\u00e9ponses fournies \u00e0 la question \u00ab\u00a0Comment justifiez-vous votre budget sans avoir un ROI pr\u00e9cis\u00a0?\u00a0\u00bb. Il semblerait que les moyens de justification les plus souvent utilis\u00e9s soient des tactiques alarmistes\u00a0; rapports sur les failles de cybers\u00e9curit\u00e9, et \u00e9valuations des d\u00e9g\u00e2ts que des attaques ant\u00e9rieures ont caus\u00e9s \u00e0 l\u2019entreprise. Oui, cette m\u00e9thode fonctionne la premi\u00e8re fois, et peut-\u00eatre m\u00eame la deuxi\u00e8me. Mais lorsqu\u2019il s\u2019agit de la troisi\u00e8me attaque, leur r\u00e9ponse ressemblera plut\u00f4t \u00e0 \u00ab\u00a0Ok, c\u2019\u00e9tait effrayant. Comment les autres ont g\u00e9r\u00e9 les choses\u00a0?\u00a0\u00bb<\/p>\n Il est plus pertinent pour l\u2019entreprise de conna\u00eetre les exp\u00e9riences d\u2019autres entreprises. Malheureusement, \u00ab\u00a0les r\u00e9f\u00e9rences du secteur et les meilleures pratiques\u00a0\u00bb n\u2019occupent que la septi\u00e8me place du classement, m\u00eame si ces informations sont publiquement disponibles. Nous vous proposons par exemple un outil particuli\u00e8rement utile\u00a0: notre IT Security Calculator<\/a>.<\/p>\nParlons des risques<\/h2>\n
Influence sur les d\u00e9cisions de l\u2019entreprise<\/h2>\n
Justification du budget<\/h2>\n