Direction Informatique

Mars/Avril 2013

Direction informatique | technologies de l'information, TI, communications, stratégies

Issue link: http://epubs.itworldcanada.com/i/120976

Contents of this Issue

Navigation

Page 12 of 22

Insouciance et inattention Alors que des organisations ont recours �� des ressources humaines et technologiques et effectuent constamment de la veille en s��curit�� de l���information, pour d���autres le sujet ne constitue pas une source de pr��occupation. Pourtant, l���argument voulant qu���une organisation suscite peu l���int��r��t des malfaiteurs num��riques en raison de sa taille, de son march�� ou de son positionnement g��ographique ne tient plus la route. Les recherches �� l���aveugle de br��ches sont une r��alit�� qui ne met aucune organisation �� l���abri d���une intrusion malicieuse �� des fins directes (obtenir des donn��es) ou indirectes (��tablir un r��seau zombie pour attaquer ailleurs). Un aspect inqui��tant r��side dans l���ignorance des organisations qu���elles peuvent faire l���objet d���une br��che �� leur insu depuis un bon moment. Michel Cusin ��voque un rapport de l���entreprise de s��curit�� am��ricaine Mandiant, paru en 2012 o�� l���on affirme que seulement 6��% des attaques informatiques sont identifi��es par l���organisation m��me. ����Donc 94��% des attaques avaient ��t�� d��couvertes ou annonc��es par des tiers. Les gens ne savent pas ce qui se passe �� l���int��rieur de leur r��seau����, souligne-t-il. D���autre part, si le responsable des technologies de l���information obtient l���attention de la direction d���une organisation, le responsable de la s��curit�� de l���information n���a pas n��cessairement le m��me privil��ge. Parfois c���est le responsable des TI qui porte le chapeau, ce qui peut entra��ner des conflits d���int��r��ts. Parfois, la responsabilit�� se trouve �� deux ou trois niveaux sous le niveau du responsable des TI et de la direction de l���organisation. Michel Boutin explique que le responsable de Directioninformatique.com - Mars/Avril 2013 Tout le monde en parle, tous ont un pare-feu et un antivirus et disent avoir une politique de s��curit��, mais nous sommes dix ans en arri��re sur ceux qui attaquent. Les gens ont encore le m��me discours qu����� l�����poque, mais le paysage a chang��. ��� Michel Cusin Ils doivent parler de la valeur de g��rer les risques dans une perspective o�� les gestes pos��s apporteront de la valeur �� l���entreprise.���� Mettre la s��curit�� �� l���avant-plan Alors que des technologies comme l���infonuagique, les donn��es volumineuses, les m��dias sociaux et la mobilit�� suscitent l���int��r��t des organisations, l���int��gration de ces ��l��ments �� l���entreprise peut amplifier les risques si la s��curit�� de l���information n���est pas consid��r��e d��s l���amorce d���un projet d���int��gration. Selon Dave Martin, l���organisation doit changer d���approche. ����Vu ce que les organisations veulent faire pr��sentement implique plus d���agilit�� que jamais, la complexit�� de l���infrastructure de s��curit�� traditionnelle rend la chose difficile puisqu���elle obstrue et exerce un contr��le autoritaire, affirmet-il. Il faut une approche nouvelle o�� le d��fi est d���appliquer la s��curit�� de fa��on efficiente et rapide sans tuer la souplesse de l���organisation. Comment peut-on utiliser la technologie d���une fa��on s��curitaire d��s le d��part?���� �� Les moyennes et les grandes entreprises se sont dot��es d���outils de pr��vention et d���identification des vuln��rabilit��s et des menaces et la sensibilisation des employ��s a ��t�� am��lior��e, mais les organisations sont plus vuln��rables face aux nouvelles tendances qui sont des vecteurs de maliciels actifs, comme le BYOD, ou bien de vandalisme, comme l���usurpation d���identit�� dans les m��dias sociaux. La meilleure d��fense est d���avoir un syst��me de gestion de crise et de r��action rapide, pour pr��voir les coups et minimiser les d��g��ts����, souligne M. Boutin. La s��curit�� de l���information ��tant un sujet complexe qui ��volue constamment et qu���on ne peut traiter bri��vement, il est imp��ratif pour les organisations qu��b��coises d���y accorder une grande attention, et ce en tout temps. ����Des organisations sont confortables dans leur position en se disant qu���elles ont d��pens�� ixe milliers de dollars pour la s��curit�� et qu���elles sont "correctes", mais la s��curit�� ne n���ach��te pas, elle se construit ��, affirme Michel Cusin. �� Plusieurs ont un faux sentiment de s��curit�� parce qu���elles ont des ��quipes et des solutions en place, mais leur pr��sence ne garantit pas n��cessairement que le travail est bien fait, poursuit M. Cusin. Aussi, elles n���ont pas encore eu une grosse br��che qui les a rendues conscientes de ce qui s���est pass��. Or, le travail d���un bon attaquant, c���est de ne pas se faire prendre...���� Plaidoyer pour la s��curit�� de l���information en interne Des comportements �� l���int��rieur d���une organisation qui touchent �� la s��curit�� de l���information peuvent avoir d���importantes r��percussions pour l���entreprise, affirme l���avocate Katerine Poirier. Article complet : bit.ly/10PkLNM 13 :::: la s��curit�� de l���information doit passer �� travers plusieurs filtres et qu���un choc budg��taire se produit lorsqu���il a des solutions �� proposer, car son sup��rieur a d���autres priorit��s. �� son avis, un enjeu de cr��dibilit�� emp��che la fonction de la s��curit�� de l���information de s�����lever dans l���entreprise. ����Historiquement, tant que le chef de l���informatique n���a pas r��ussi �� montrer sa valeur, il n���a pu monter dans l���organisation. Mais cette reconnaissance de valeur impliquait aussi une d��monstration de valeur de sa part. Les responsables de la s��curit�� de l���information sont rendus au m��me point. dossier indique-t-il.��Certaines organisations qui ont un programme ��labor�� sont actives et d���autres qui se "r��veillent" tentent d���en faire autant. Le changement ne survient pas du jour au lendemain, mais des entreprises d��sirent ��tablir un programme de s��curit�� en plusieurs couches, avec de la profondeur, qui leur permettra d�����tre en mode d��fensif et de poser les bons gestes. ��

Articles in this issue

Links on this page

Archives of this issue

view archives of Direction Informatique - Mars/Avril 2013