Home » Technologie »  Sécurité » Les trois impératifs fondamentaux de la sécurité

Les trois impératifs fondamentaux de la sécurité

Tech Page One

Les trois impératifs fondamentaux de la sécurité

 

Pour Florian Malecki, le constat est clair. Les solutions de sécurité n’ont pas su s’adapter à la nouvelle nature de la donnée. Le Directeur de la technologie Dell SecureWorks signe une tribune pour détailler l’approche de la société texane, basée sur trois grands axes.

La technologie et les approches que nous utilisons pour sécuriser nos informations et systèmes ne fonctionnent pas. Même si nous n’avons jamais autant dépensé d’argent pour protéger nos systèmes et nous conformer aux exigences réglementaires et internes, il y a toujours un problème. Nous vivons dans un monde connecté où les données constituent l’âme de l’entreprise. Mais pour que les données soient d’une quelconque utilité, elles doivent être sécurisées où qu’elles aillent et où qu’elles soient stockées.

La nature de cette donnée a changé, contrairement aux solutions de sécurité conçues pour les protéger. Pour que les données soient utiles, elles doivent être disponibles et en mesure d’être déplacées quand et où il le faut. Et c’est une bonne chose. La plupart des fournisseurs essaient pourtant de les isoler et de les mettre dans des silos. Notre vision consiste à relier toutes les solutions de sécurité cloisonnées de telle sorte que les pare-feu partagent des informations avec les logiciels de gestion des identités et de l’accès, et ainsi de suite. Dans cet environnement, les données circulent toujours librement, mais les menaces sont détectées plus facilement et nous passons d’une approche réactive, à une stratégie proactive, puis prédictive. Notre approche repose sur les trois impératifs fondamentaux de la sécurité informatique : protection, conformité et développement.

La protection

Les trois impératifs fondamentaux de la sécuritéÉvidemment, la protection de l’infrastructure constitue la première exigence de base de tout système de sécurité informatique. Dans la plupart des organisations, l’approche courante en matière de protection consiste à acheter une solution de pare-feu de nouvelle génération (anti-virus au niveau de la passerelle, IPS/IDS, filtrage de contenu, application firewall…), une solution de gestion des identités, un antivirus client, puis à respecter les bonnes pratiques et maintenir l’ensemble à jour.

Problème, les auteurs de menaces changent toujours leur approche en fonction de ces bonnes pratiques. Ils les étudient et cherchent un moyen de les contourner. Par conséquent, plus les pratiques d’excellence sont généralisées, plus elles sont susceptibles d’être ciblées et finalement d’être défaites par les gens malintentionnés.

Une manière de rompre ce cercle vicieux consiste à utiliser des services de sécurité gérés et à former les employés aux procédures simples et faciles à comprendre. Les sources potentielles de failles sont nombreuses : erreurs conceptuelles, maintenance de système irrégulière, modifications apportées à l’environnement d’applications, … Difficile pour une entreprise d’identifier l’intégralité de ces failles. Le test d’intrusion constitue un premier élément de réponse en testant tous les points d’accès et applications de base pour identifier les vulnérabilités. L’évaluation des risques donne ensuite lieu à des recommandations exécutables spécialement émises pour répondre aux principales exigences professionnelles.

La conformité

Que votre entreprise soit conforme ou non est le cadet des soucis des clients. Leur seule préoccupation est de savoir si leurs données ont été volées ou non. Aujourd’hui, de nombreuses organisations gèrent leur environnement de sécurité pour se conformer aux réglementations. Elles supposent que si elles répondent aux critères de toutes les listes de vérification, leurs réseaux seront sécurisés.

Mais c’est une idée révolue. Les cadres dirigeants n’en savent pas assez sur la sécurité et adoptent ainsi le langage de la conformité. Souvent, ils n’arrivent pas à développer des stratégies de gestion de risques qui sont guidées par des politiques de gouvernance, le tout dans un souci de sécurité informatique solide. Ils adoptent une approche de conformité pour la sécurité. Au lieu de cela, ils ont besoin d’adopter une approche de sécurité pour la conformité.

Prenons l’exemple du BYOD. L’utilisation par les employés d’appareils personnels sur le lieu de travail permet difficilement d’uniformiser la sécurité pour l’ensemble des collaborateurs. Pour satisfaire, voire dépasser les exigences élevées en matière de sécurité des informations, certaines organisations ont décidé de chiffrer les données sur les terminaux, des ordinateurs portables aux ordinateurs de bureau, en passant par les périphériques mobiles.

Le chiffrement des données est l’une des solutions pour résoudre le problème. Cela dit, notre offre en mobilité repose sur une référence d’architecture simple et efficace, qui permet aux entreprises d’offrir l’accès aux données de l’entreprise, en fonction des utilisateurs et des appareils, et ce en toute sécurité.

La confiance

Pendant des décennies, la sécurité informatique a eu la réputation bien méritée d’être un inhibiteur de l’agilité de l’entreprise. Dans de nombreux cas, elle entrave, ralentit et empêche purement et simplement certaines fonctions de l’entreprise. La plupart des organisations ont fini par accepter ces limitations en présupposant que cela fait partie des coûts inévitables de l’activité. Mais lorsqu’elle est bien gérée, la sécurité peut en réalité dynamiser une activité en donnant à une organisation la confiance nécessaire pour acquérir de manière proactive de nouvelles fonctionnalités ayant potentiellement un impact direct sur le chiffre d’affaires, les bénéfices et l’expérience client.

Pour ce faire, l’organisation peut par exemple protéger l’intégralité de son périmètre avec un pare-feu de nouvelle génération, capable de prendre en charge un trafic réseau important, associé à un dispositif de gestion des identités et des accès Elle peut donner aux utilisateurs la confiance nécessaire pour travailler n’importe où, n’importe quand et sur n’importe quel appareil. Faire confiance à votre solution de sécurité encourage l’adoption de nouvelles technologies. Cela favorise l’innovation, aussi bien à l’intérieur qu’à l’extérieur du pare-feu de l’entreprise.

 

 

Dell

Dell

La Revue de l’IT

Dans un environnement IT aussi complexe que passionnant, les responsables IT doivent réaliser au quotidien des choix décisifs pour leurs entreprises respectives. C’est pour accompagner les responsables du SI dans ce défi que Dell a conçu TechPage One. DSI, directions générales et métiers, et responsables opérationnels y trouveront des dossiers thématiques, des mises en perspective et des supports dynamiques en prise directe avec l’actualité IT pour appréhender au mieux les chantiers IT et prendre des décisions pleinement qualifiées.

Derniers articles:

 

Tags: Technologie,  Sécurité