7 QUESTIONS POUR AMÉLIORER LA

SÉCURITÉ DE VOTRE ENTREPRISE

1 – Devez-vous surveiller vos employés de près ?

Dans une époque économiquement difficile, les menaces internes augmentent
les risques pour la sécurité IT. Jusqu’où les responsables des technologies de
l’information doivent-ils aller pour protéger les données de leurs entreprises ?

Le risque venu de l’intérieur a toujours existé, mais il est d’autant plus

important dans une ère de bouleversements et d’incertitudes économiques.
C’est un point qui a été mis en relief par un récent sondage de l’institut
Ponemon portant sur 945 personnes ayant été licenciées ou ayant quitté leur
emploi en 2008 :
•59 % admettent avoir volé des informations à leur entreprise
•67 % admettent avoir utilisé des informations confidentielles de leur
précédente entreprise pour obtenir un nouvel emploi.

1.1 – Trouver le bon équilibre

Jusqu’où les responsables des technologies de l’information doivent-ils aller
pour protéger les données de leurs entreprises ? « Il faut un équilibre »,
répond Max Reissmueller, Responsable des opérations IT et de l’infrastructure
chez Pioneer Electronics. « Je n’aimerais pas que des responsables viennent
me demander de garder un oeil sur un employé en particulier, afin de savoir ce
qu’il fait à chaque minute. »
Parallèlement, la société Pionneer est déterminée à protéger sa propriété
intellectuelle, ses listes de clients, et ses autres données sensibles. « Je ne

https://astuces-top.blogspot.com
veux pas qu’un employé mécontent essaie de voler des informations. »,
reconnaît Max Reissmueller. C’est la raison principale pour laquelle la firme a
installé un outil de contrôle d’accès au réseau pour surveiller l’accès aux
« joyaux de la couronne », et savoir si les employés essayent d’outrepasser
leurs droits.

1.2 – Détecter les comportements suspects

A l’aide d’un commutateur ConSentry Networks et d’un contrôle d’accès au
réseau, Pioneer surveillera les comportements qui pourraient se révéler
suspects afin de les bloquer. « Mais je ne veux pas que mon personnel de
sécurité se transforme en Big Brother. », poursuit Max Reissmueller.

En pratique, et comme d’habitude, il suffit d’un cas de fuite de données pour

obliger une organisation à renforcer sa surveillance : C’est ce qui est arrivé à
l’Université d’Arizona. Celle-ci a du faire des annonces officielles à propos des
données personnelles qui avaient été exposées au public, commente Eric Case,
en charge de la sécurité de l’information à l’université.

1.3 – Ne pas oublier de données sensibles

C’est ce qui a poussé le bureau d’information et de sécurité de l’Université à
donner le coup d’envoi d’un programme qui consistait notamment à vérifier
que le personnel de la faculté n’abandonnait ou n’oubliait pas de données
sensibles dans ses ordinateurs.

Afin de s’en assurer, l’Université a déployé un logiciel gratuit de prévention des

fuites de données appelé Spider. Cet outil peut vérifier une machine cible et
voir si elle contient des données qui ne devraient pas y être. Il peut alors les
supprimer ou les déplacer vers un serveur plus sécurisé.
Bien que le personnel de sécurité ait expliqué en détail ses objectifs, « Une
partie des gens étaient très inquiets que nous ayons accès à leurs données »,
avait expliqué Eric Case lorsqu’il avait abordé le sujet durant la récente
conférence Infosec World. « Ils étaient fâchés. »
« Mais après avoir rassuré les gens, la prévention des fuites de données devait
prendre effet au plus vite car nous savions que nous avions des données
éparpillées partout », continue Éric Case. « Avons-nous réduit les risques ?

https://astuces-top.blogspot.com
Oui, beaucoup. »

1.4 – Des règlements liés au contexte médical

Rick Haverty, le Directeur de l’infrastructure des systèmes d’informations au
centre médical de l’Université de Rochester à New York, explique de son côté
que son organisation est soumise à des lois et des réglementations
particulières en ce qui concerne les informations de soin des patients. « Nous
devons nous rendre compte quand il apparaît qu’un employé pourrait ne pas
avoir respecté les règles. L’une de nos préoccupations est qu’un employé jette
un coup d’oeil sans raisons au dossier médical de quelqu’un d’autre ».
«Des gens ont été licenciés pour cette raison», précise-t-il, ajoutant que
l’enquête commence souvent par des rumeurs à propos de la situation
médicale d’un patient. L’inspection débute alors par l’étude des journaux
d’historiques afin de déterminer s’il n’y a pas eu d’accès inapproprié aux
dossiers.
L’analyste du Gartner John Pescatore estime que le mot-clé est de savoir
jusqu’où il faut surveiller les employés : « Il y a assurément une nécessité de
surveiller les fuites de données critiques pour l’entreprise dont les employés
sont responsables. Il y a aussi un besoin de savoir ce qui arrive dans leurs
ordinateurs pour se protéger de codes malveillants. », commente-t-il.

« Cependant, en pratique, il est moins urgent de surveiller chaque action

entreprise par un utilisateur, ou de lui interdire l’accès à tout site non relié au
travail, de l’empêcher d’utiliser son ordinateur de bureau pour toute autre
chose que le travail, ou d’utiliser son ordinateur personnel pour le travail. »
L’évolution vers un mélange bureau/maison pour travailler est en cours, et « la
sécurité ne peut pas stopper cette évolution, pas plus qu’elle n’avait arrêté
internet, le Wifi ou d’autres évolutions par le passé. », termine-t-il.

2 – Vaut-il mieux choisir un seul vendeur de sécurité

stratégique, ou plutôt rassembler les meilleures
solutions de différents constructeurs ?
Un grand débat émerge alors que Cisco et d’autres visent à s’approprier le
domaine de la sécurité. Est-il préférable de choisir un seul vendeur de sécurité
stratégique, ou vaut-il mieux assembler les meilleures solutions proposées par
différents constructeurs ?
Le grand débat ces derniers temps est de savoir s’il est préférable de choisir un
vendeur de sécurité stratégique qui apporte la majorité des produits de
sécurité et de services dont l’entreprise pourrait avoir besoin, ou d’opter plutôt
pour différents produits spécifiques, ce qui inclut ceux proposés par des starts-
up ?

https://astuces-top.blogspot.com
2.1 – Pas d’avantage en termes d’intégration
« Ma préférence irait à un seul vendeur stratégique. », avance Rick Haverty,
directeur de l’infrastructure des systèmes d’informations au centre médical de
l’Université de Rochester. Cisco est le vendeur réseau stratégique pour l’URMC
(Centre Médical de l’Université de Rochester), qui vient de retenir IronPort, une
appliance de filtrage Web, et filiale de Cisco.
Mais il ajoute ne pas avoir encore vu l’avantage qu’avoir un vendeur unique est
supposé apporter en termes d’intégration des produits, comme une console de
gestion commune par exemple. « Ils n’en sont tout simplement pas encore là
», estime-t-il.

2.2 – Des solutions de chiffrement spécialisées

Quoi qu’il en soit, l’URMC cherche aussi des produits spécialisés afin de
pourvoir aux besoins de l’organisation, se tournant vers des vendeurs de
sécurité tels que Voltage pour le chiffrement des e-mails avec ses partenaires
commerciaux, ou Check Point pour son chiffrement PointSec complet du disque
dur des postes de travail. Rick Haverty considère n’avoir à faire que des choix
pragmatiques pour la sécurité de l’entreprise, tout simplement.

Autre cas, Brad Blake, le directeur IT du centre médical de Boston, annonce

que le point de vue de son employeur, est de prendre les meilleurs produits
spécialisés pour les applications cliniques, mais de préférer un vendeur
stratégique (ou deux) en ce qui concerne la sécurité.

2.3 – Un budget allégé ?

La raison principale selon lui est que l’approche d’un vendeur stratégique de
sécurité peut aider à réduire le budget, et donne l’avantage d’une plateforme
de gestion commune.
Le centre médical de Boston considère que McAfee est un vendeur stratégique
car il utilise son large portefeuille de produits de sécurité et sa console ePolicy
Orchestrator pour les piloter.
ArcSight est aussi considéré comme un vendeur critique car sa plateforme de
gestion de la sécurité de l’information peut combiner les journaux d’historiques

https://astuces-top.blogspot.com
en provenance de plusieurs sources afin de les analyser.

2.4 – Demande à être convaincu

Bien que le centre Médical de Boston ressemble un peu à un « Magasin
Cisco », le fournisseur de soins n’a pas été assez impressionné jusqu’ici pour
adopter jusqu’aux produits sécurité Cisco.
George Japak, patron d’ICSA Labs, qui teste une gamme variée de produits de
sécurité, déclare que Cisco empile les couches de pare-feu et d’antivirus à
l’intérieur des commutateurs et des routeurs. De plus en plus, les plus grosses
entreprises dépendantes des équipements Cisco choisissent ce constructeur de
manière à réduire la complexité de leurs réseaux.

2.5 – Toujours garder une alternative

Mais il soutient qu’on ne peut pas donner de passe-droits aux vendeurs
stratégiques de sécurité et qu’ils doivent rester responsables de toutes les
nouvelles fonctionnalités de sécurité qu’on leur confie. « Vous pouvez avoir un
vendeur principal de sécurité tout en en gardant d’autres dans votre
manche. », résume George Japak.
Gaby Dowling, responsable de la sécurité IT pour le cabinet d’avocats
Proskauer Rose, pense qu’il n’est pas logique de considérer quoi que ce soit
comme étant « stratégique » si le vendeur et le produit ne peuvent s’adapter
rapidement à un environnement de menaces évolutif. « Juste le fait que
différents produits viennent du même vendeur ne veut pas forcément dire
qu’ils vont bien s’intégrer, selon mon expérience. », conclut-elle.

3 – A quel point devons-nous avoir peur des

statistiques de sécurité ?
Les fournisseurs de sécurité ne sont pas avares de statistiques sur les attaques
et les risques. Il nous en arrive tous les jours, toutes plus inquiétantes les unes
que les autres. Les experts se disent sceptiques, bien qu’ils avouent les
intégrer dans les tendances générales.
Saviez-vous que le nombre de sites diffusant des codes malveillants pour voler
des mots de passe a été de 31 173 en Décembre 2008, record jamais atteint
par le passé, selon la coalition APWG (l’ancien groupe de travail anti-
phishing) ?
Ou que le coût des vols de données a atteint une moyenne de 6,6 millions de
dollars par violation l’année dernière (contre 6,3 millions de dollars en 2007),
selon l’institut Ponemon ?
Ou que de 3 % à 5 % des stations de travail ou serveurs d’entreprise,
principalement ceux sous Windows, sont susceptibles d’être infectés par du
code « Botnet », selon la firme de sécurité Damballa qui se base sur une
analyse du trafic de ses clients ?

https://astuces-top.blogspot.com
Les rapports sont pleins de telles statistiques en provenance d’une variété de
sources, mais les responsables IT s’en inquiètent-ils vraiment ?

3.1 – On veut nous mener vers un produit

« Nous y faisons tous un peu attention. », déclare Jeff Keahey, PDG de
Wardlaw Claims. « Mais nous nous méfions de leur partialité. » En général, on
a souvent le sentiment que quelqu’un essaye vraiment de nous « mener vers
un certain produit » et « beaucoup de statistiques sont accompagnées d’une
publicité », remarque-t-il.
Bien qu’il reste méfiant, Jeffn Keahey dit regarder les statistiques de sécurité
comme une indication générale des tendances, et qu’elles ont peut-être une
influence sur les décisions qu’il doit prendre pour contrer les menaces de
sécurité.

3.2 – Avoir ses propres chiffres internes

Cloudmark, un vendeur qui fabrique des produits de sécurisation des e-mails, a
des doutes quant à l’importance réelle des statistiques de sécurité qui
apparaissent dans les médias : « Une organisation devrait se concentrer bien
plus sur ses chiffres internes plutôt que sur des statistiques externes. », pense
Adam O’Donnell, Directeur des technologies émergentes chez Cloudmark.
Cependant, Unisys, un intégrateur de systèmes, est d’un autre avis. Depuis 2
ans, Unisys réalise tous les 6 mois un sondage portant sur près de 14 000
personnes dans 13 pays, leur posant 8 questions à propos de leur perception
de la sécurité personnelle, financière et du secteur public en ligne. Unisys
affirme que les entreprises qui s’intéressent à ce que pensent les
consommateurs, doivent prendre en compte ces statistiques.

3.3 – En France, personne ne s’inquiète

« C’est fascinant de voir à quel point les statistiques sont différentes selon les
pays et les populations., explique Tim Kelleher. « Le monde n’est pas
homogène. En France, personne ne s’inquiète vraiment, mais au Brésil et dans
certains pays asiatiques, les gens ne se sentent pas en sécurité quand ils sont
sur internet. Les États-Unis sont entre les deux. »
Tim Kelleher en retient que les tendances statistiques générales sont plus
significatives que les chiffres brandis sur le moment.

4 – Les questions de sécurité retardent-elles

l’adoption du Cloud computing ?
Il semble y avoir consensus sur cette question. On attend des fournisseurs de
Cloud computing une plus grande transparence et de meilleures garanties
quant à leurs offres.

https://astuces-top.blogspot.com
« Oui, la sécurité est l’un des problèmes qui ralentit l’adoption du Cloud
computing. », affirme Eric Mandel, PDG de BlackMesh. « L’une des plus grosses
inquiétudes à propos du Cloud computing est qu’une fois que vous avez
déplacé vos informations dans le Cloud, vous en perdez le contrôle. Le Cloud
donne accès aux données, mais vous n’avez aucun moyen de vous assurer que
quelqu’un d’autre n’y a pas accès aussi. Comment pouvez-vous vous protéger
d’une faille de sécurité quelque part dans le Cloud ? »

4.1 – Un sentiment de risque accru

« Les questions de sécurité vont continuer à laisser certaines entreprises en
dehors du Cloud », précise Eric Mandel.
Symplified, une start-up fournissant un service de sécurité basé dans le Cloud
qui étend les contrôles d’accès, considère aussi qu’il y a un fort sentiment que
le risque est accru.
« Nous estimons qu’il faut se concentrer sur les droits d’accès des utilisateurs
(« credentials »). Ce sont les clés du royaume et nous nous rendons compte
que les entreprises répugnent à mettre ces clés dans le Cloud », remarque Eric
Olden, PDG de Symplified. Il note aussi que les fournisseurs de Cloud
serviraient leur propre cause en offrant plus de « transparence » sur ce qui se
passe dans l’environnement du Cloud Computing.
L’analyste Eric Maiwald du Burton Group soutient aussi que les vendeurs de
Cloud devraient être plus ouverts à propos de leurs pratiques de sécurité. Une
longue liste de questions de sécurité devrait être résolue avant que les
entreprises ne se lancent dans le Cloud Computing, mêmes si elles voient les
réduction de coûts comme le premier moteur.
Ces questions incluent notamment :
•La façon dont les données sont chiffrées et stockées,
•Si l’e-discovery peut être réalisé en cas de besoin,
•Les contrôles existants,
•Si le fournisseur de Cloud a passé un audit SAS-70 (ce qui est le cas de
Google par exemple)

https://astuces-top.blogspot.com
4.2 – Les fournisseurs en cause
Dick Mackey, analyste chez consultancy SystemExperts, pense que le Cloud
Computing est « un choix difficile pour une entreprise désirant utiliser cette
plateforme pour protéger des informations sensibles. » à cause de «
l’incapacité ou de la réticence des fournisseurs de Cloud à donner des garanties
à propos des contrôles qui encadrent les ressources informatiques. »
Il soutient aussi « qu’il serait difficile voire impossible d’assurer une conformité
de type PCI (Payment Card Industry), demandée par les organismes de cartes
bancaires Visa et Mastercard, dans un Cloud proposé par un fournisseur de
services. Les exigences sont fortes et touchent alors d’une part à la
compréhension d’un système précis et d’une configuration réseau, et d’autre
part au contrôle de l’accès aux systèmes et aux données issues des cartes
bancaires. »

4.3 – Une alliance pour la sécurité du Cloud

Mais les vendeurs n’attendent pas les bras croisés. Ils ont récemment formés
une Alliance de Sécurité du Cloud pour traiter précisément les inquiétudes que
les professionnels de la sécurité IT disent avoir.

5 – L’informatique mobile est-elle le talon d’Achille

de votre politique de sécurité ?
La plupart des entreprises aujourd’hui arrivent à bien sécuriser leurs
ordinateurs portables. Mais la question des smartphones est bien plus
épineuse.
L’informatique mobile, depuis l’ordinateur portable jusqu’aux myriades d’engins
qui tiennent dans la main (smartphones, blackberries, iPhones, clés USB et
PDA), peut sans aucun doute être considérée comme le maillon faible en
termes de sécurité, remarque Jonathan Gossels, analyste chez consultancy
SystemExperts.
Bien que pas tout à fait disposées à la considérer comme aussi dévastatrice
que la blessure d’Achille durant la guerre de Troie, beaucoup d’organisations
reconnaissent l’informatique mobile comme leur plus gros défi d’un point de
vue sécurité.

5.1 – Chiffrer les données

« Les IPhones, Blackberries et Treos sont autant de nouveaux problèmes pour
nous. », admet Doug Miller, Directeur IT chez Armanino McKenna LLP.
La firme sécurise près de 200 ordinateurs portables avec des produits tels que
PointSec, DeviceLock et TruCrypt. Ces solutions renforcent le chiffrement des
données, empêchent de graver des Cds, et restreignent les utilisateurs aux
seules unités de stockage amovibles spécifiquement contrôlées Flexar. Mais la
sécurité n’est pas aussi simple avec les smartphones.

https://astuces-top.blogspot.com
Ceux-ci appartiennent à des employés qui les utilisent aussi bien pour des
raisons personnelles que de travail, fait remarquer Doug Miller.

5.2 – Les smartphones sont un bon outil de travail

« C’est leur téléphone, et le problème est que c’est un bon outil pour nos
employés. », continue Doug Miller. Même s’il existe des possibilités
d’effacements à distance ou de de protection par des mots de passe, un niveau
similaire de sécurité logicielle que sur les PC portables ne semble pas encore
être disponible sur les smartphones.
Brian Hughes, le vice-président et Responsable PC à la First National Bank de
Pennsylvanie s’inquiète aussi des téléphones disposant d’un appareil photo.

5.3 – Le sans fil interdit dans la banque

« Pour la sécurité et la solidité de notre réseau, nous n’avons aucun système
sans-fil dans toute la banque, et nous décourageons nos employés d’en
amener un. », explique-t-il.
Il y a aussi au sein de la banque une politique de « Aucun téléphone avec
appareil-photo », même si Brian Hughes reconnaît que cette règle est plus
basée sur la confiance que sur un quelconque moyen technique de vérification.
« Nous nous appuyons sur la pression de l’entourage de travail et sur l’espoir
qu’une violation de la politique d’entreprise à propos des appareils de poche
sera signalée », continue Brian Hugues.
Mais l’analyste du Gartner John Pescatore pense de son côté qu’en ce qui
concerne les PDAs et les smartphones, « la menace est bien trop surestimée ».

5.4 – Sécuriser plutôt qu’interdire

Il y a de plus la perspective que les employés devraient être capables de
réaliser « un travail productif depuis n’importe quel ordinateur, n’importe où. »,
et que pour cela, il y a « assurément un fossé majeur entre les stratégies
sécurité des entreprises. Elles ont besoin de faire évoluer leur capacité à
injecter de la sécurité entre les utilisateurs de mobiles et les données
critiques », un domaine ou John Pescatore considère que les services de
sécurité basés dans le Cloud sont appelés à jouer un rôle prédominant.

6 – Comment gérer les risques qui viennent des

réseaux sociaux ?
Les réseaux sociaux peuvent apporter beaucoup aux entreprises, mais ils
s’accompagnent de risques non négligeables pour la sécurité.
Les réseaux sociaux, que l’on parle de Facebook, Myspace, LinkedIn, Youtube,
Twitter ou de n’importe quel autre, deviennent rapidement un mode de vie
pour des millions de personnes qui désirent partager des informations
personnelles ou professionnelles.

https://astuces-top.blogspot.com
Mais ils s’accompagnent d’énormes risques allant des vols d’identité aux
infections par des virus, en passant par la diffusion de commentaires ou
informations pouvant entacher la réputation de personnes ou d’entreprises.

6.1 – Du bon sens suffit-il ?

A la fois les directeurs IT et les experts en sécurité restent très méfiants face
aux réseaux sociaux. Beaucoup voient peu de protections face à ces pièges si
ce n’est le bon sens et quelques protections antivirus.
La plupart d’entre eux pensent que leurs efforts doivent d’abord aller à
l’éducation des utilisateurs à propos des risques de ces réseaux. « Les réseaux
sociaux en eux-mêmes sont vraiment une bonne chose. », considère Jamie
Gesswein, ingénieur réseau au Children’s Hospital of the King’s Daughters de
Norfolk. Bien que très impressionné par la capacité des réseaux sociaux à
faciliter les relations entre les gens, il préfère en bloquer l’accès sauf si l’usage
s’en avère vraiment nécessaire.

6.2 – Des informations accessibles durant des années

« Attention à ce que vous publiez. », dit-il. « Je connais des utilisateurs qui
publient tout et n’importe quoi sur ces sites. Certaines fois, c’est à celui qui en
mettra plus que les autres. »
Il pense que les enthousiastes des réseaux sociaux oublient parfois que ces
informations resteront accessibles pendant des années et qu’elles pourraient
revenir les hanter si un recruteur s’intéressait à leur passé numérique. Jamie
Gesswein croit aussi que les utilisateurs pourraient finir dans « un monde que
des personnes mal-intentionnées pourraient exploiter. ».

6.3 – Une diffusion facilitée de ver

Gaby Dowling, responsable de l’informatique pour la firme internationale
Proskauer Rose, considère qu’il y a des raions commerciales réelles à
l’utilisation des sites de réseaux sociaux tels que LinkedIn, mais elle a peur que
des codes malveillants puissent être diffusés facilement en abusant de la
confiance des utilisateurs. « Le ver Koobface s’est diffusé sur Facebook car
vous pensiez recevoir quelque chose de la part d’un utilisateur de confiance. »,
souligne-t-elle.

6.4 – Ne pas y accéder depuis des systèmes de production

« Les réseaux sociaux s’accompagnent de risques importants d’infection des
systèmes par des codes malveillants. », pense de son côté l’analyste Jonathan
Gossels de SystemExperts. Il ajoute : « En ce qui concerne la politique
d’entreprise, les employés ne devraient pas visiter les réseaux sociaux depuis
les systèmes de production. »
Les réseaux sociaux sont en fait une « version numérique de la relation. »
estime Greg Hoglund, PDG de la firme HBGary et expert de sécurité qui a co-

https://astuces-top.blogspot.com
écrit le livre « Exploiting Online Games » qui révélait comment les tricheurs
pouvaient manipuler les jeux en réseau tels que World Of Warcraft.

6.5 – Ne pas croire une personne virtuelle

à l’instar d’une personne réelle
Des milliers d’applications tierces sont développées pour les réseaux sociaux,
et dans les grandes lignes, elles exposent toutes « des surfaces de
vulnérabilité pour des attaques préparées potentielles », affirme Greg
Hoglund.
De plus, l’attaque potentielle est raccrochée à une version numérique d’une
relation humaine, quelqu’un que vous connaissez et à qui vous parlez tous les
jours, explique-t-il.
Ce qui veut dire que « la version numérique de cette personne peut être
facilement imitée ou exploitée. », et Doug Hoglund ne voit pas de solution
évidente à ce dilemme. « En un mot, ne croyez pas une identité virtuelle
comme vous croyez une relation humaine. »
« Les gens révèlent bien plus d’informations qu’ils ne le devraient. », poursuit
Gary Gordon, Directeur exécutif de l’AIMR (Applied Identity Management
Research pour Recherche appliquée sur la gestion des identités), une
organisation non-lucrative formée en octobre dernier par des universités, des
agences publiques et des industries afin d’explorer les problèmes clés liés à la
gestion de l’identité.

6.6 – Attention aux escrocs

« Les risques de vols d’identités et de social engineering (escroquerie et
manipulations) à travers l’exploitation des réseaux sociaux sont réels »,
affirme-t-il. Mais il ne voit pas le blocage des réseaux sociaux comme une
solution.

6.7 – Le vol d’identité

Eddie Schwartz, Directeur de la sécurité chez NetWitness, a parlé des risques
des réseaux sociaux lors de la récente conférence Infosec. Il avait mentionné
le vol d’identité, l’espionnage et les codes malveillants comme des menaces
potentielles.
« Une session typique d’un utilisateur de Facebook ou de MySpace va de
quelques minutes à plusieurs dizaines de minutes, vous pouvez donc écrire une
application qui récupère des informations personnellement identifiables. »,
explique Schwartz.

6.8 – Des risques d’espionnage accrus

De plus, il dit avoir vu des preuves démontrant que des employés
gouvernementaux utilisant des réseaux sociaux étaient abordés par des
personnes d’autres pays, leur demandant des informations dans des objectifs

https://astuces-top.blogspot.com
d’espionnage.
L’ouverture proposée par beaucoup de sites de réseaux sociaux en fait des «
plateforme idéales à exploiter », précise-t-il.
Quand on en vient aux réseaux sociaux en ligne comme Facebook, « il faut
éduquer les gens qui ont des secrets pour qu’ils soient méfiants. », conseille
Michael Rochford, responsable de la direction des initiatives globales du bureau
de l’Intelligence et de la contre-Intelligence au département de l’énergie du
Laboratoire National d’Oak Ridge. « Ils vont d’eux-mêmes sur ces plateformes
où ils se feront exploiter. ».

6.9 – Créer son propre réseau social interne

Beaucoup d’entreprises, dont Lockheed Martin qui crée son propre réseau
social à usage interne uniquement, bloquent les réseaux sociaux publics pour
des raisons de sécurité.
Mais de nombreuses firmes aujourd’hui considèrent le fait de bloquer les
réseaux sociaux comme une mauvaise décision.

7 – Les processus de sécurité pourront-ils être

finalement automatisés ?
L’automatisation des systèmes de sécurité est un concept important cette
année. Bien que des progrès existent, une automatisation complète semble
irréaliste dans les années à venir.
L’automatisation des systèmes de sécurité est un concept important cette
année. La plupart des plus importantes agences fédérales américaines
( Département de la défense, Agence de Sécurité Nationale, Agriculture et
Energie, …) insistent pour une nouvelle orientation au-delà de l’actuel mandat
d’audit FISMA de la sécurité.
Elles veulent que le Congrès et que l’administration d’Obama considèrent
l’adoption des grandes lignes du Consensus d’Audit, un ensemble de 20
contrôles de sécurité techniques qui encouragent l’automatisation.

7.1 – Mais la sécurité peut-elle être automatisée ?

Les domaines considérés comme suffisamment matures, tels que les scans ou
la prévention des intrusions, peuvent être automatisés, estime l’analyste du
Gartner John Pescatore. « Mais parce que les menaces et les environnements
technologiques changent rapidement, l’automatisation de la sécurité est
limitée. C’est bien d’en parler, mais en réalité le bénéfice pour l’entreprise est
réduit. », poursuit-il.

7.2 – L’automatisation ardemment désirée

Cependant, certains responsables IT se disent peu enthousiastes à l’idée
d’acheter des produits ou services de sécurité s’ils ne contribuent pas à

https://astuces-top.blogspot.com
l’automatisation.
« Nous sommes complètement automatisés en ce qui concerne la création des
identifiants. », annonce Mike Ruman, Responsable des communications et de la
messagerie d’entreprise chez Grant Thornton, une firme qui compte plus de 50
bureaux et 6 000 employés.
L’allocation de ressources (provisioning) automatique peut créer un identifiant
utilisateur en 8 minutes et assigner la personne à un groupe de sécurité basé
sur le code de son emploi et son département, dit-il.
La firme utilise le provisioning GroupID d’Imanami afin de se synchroniser avec
les ressources humaines et les bases de données des départements, ainsi que
l’annuaire de Microsoft, Active Directory, pour mettre à jour les privilèges en
ligne des employés toute les deux heures.
« S’il y a des changements, cela permet de garder l’information à jour, et
l’accès de l’utilisateur peut être fermé », dit Mike Ruman. Le maillon faible de
cette chaine – qu’il a vu arriver une fois – est que les ressources humaines
oublient de noter le départ d’un employé.
Mike Ruman remarque aussi que le processus d’auto-provisionning en place
aide les auditeurs car il est simple de générer des rapports. L’une des barrières
principales qu’il voit à l’automatisation de la sécurité est la politique de
l’entreprise, particulièrement les « guerres de territoire d’administrateurs »,
lorsqu’ils se querellent à propos de tâches qui sont souvent manuelles.
Quoi qu’il en soit, les doutes à propos des perspectives pour la sécurité
automatisée abondent.

7.3 – Pas plus d’automatisation que de voitures volantes

« Comme pour les voitures volantes, les gens ont attendu une automatisation
totale de la sécurité pendant des années. », commente Tracy Hulver, Vice-
présidente exécutive du marketing et des produits chez NetForensics, un
éditeur de produit de gestion des évènements de sécurité, aidant à
automatiser la consolidation des données de sécurité et des journaux
d’historiques.
« Malheureusement, c’est quelque chose qui est à des années, peut-être
décennies, de pouvoir être réalisé. », regrette-t-il, ajoutant que
l’automatisation a joué sur certains aspects des questions de sécurité « mais
une intervention humaine est toujours requise pour pouvoir répondre de
manière appropriée. »

https://astuces-top.blogspot.com