A quelques encablures de l’Isaca, Christophe Bianco, VP & General Manager de Qualys, revient sur une série de questions qui emportent tous les récents sujets d’actualité. Après des faits d’armes auprès de grandes entreprises, les hackers anonymes ont réussi ces dernières semaines à occuper les écrans de Luxembourg et d’ailleurs. Cela démontre que les aspects technologiques ne sont plus les remparts contre les menaces. Le sujet est trop sérieux que pour être conservé au sein d’une chambre privée. La sécurité est un enjeu pour tous et partout.

Est-ce que le RSSI doit porter le sujet de la sécurité au niveau de son board ?

Je ne pense plus qu’aujourd’hui la question se pose en ces termes. L’incident de sécurité est une information qui fait la une des journaux ou médias de manière assez naturelle. Le problème est plutôt le type d’information qui est porté au board et sa gestion ou son interprétation.

On traite encore trop souvent l’information de sécurité sous l’angle de la tactique de la peur, en privilégiant l’angle du sensationnel plutôt que du contenu et des conséquences réelles.

Je pense que l’enjeu aujourd’hui de l’homme ‘sécurité’ est de porter le sujet de la sécurité de l’information au niveau du board, mais avec un message non plus technique comme il l’a été trop longtemps, mais plutôt aligné sur les enjeux métiers de l’organisation qui sont les seuls et vraies préoccupations du board.

Vulnérable je suis, mais suis-je pour autant en danger ?

Les récents évènements montrent qu’effectivement je suis vulnérable. Suis-je en danger? – bien sûr si je deviens un centre d’attention comme l’a montré encore cette semaine l’histoire de l’arrêt de Megaupload. L’activisme et les activités malicieuses se mêlent avec une puissance de frappe impressionnante.

Ma réflexion en tant qu’homme sécurité de l’information d’une entreprise est de me demander si j’ai fait “les basiques”:
- Est ce que je connais les équipements et le périmètre de mon organisation ?
- Est ce que les fenêtres que j’ouvre sur le monde externe sont sous surveillance et est ce que cette surveillance est continue (et non pas limitée comme trop souvent à une évaluation par an) ?
- Est ce que j’ai un processus de correction des problèmes efficaces ?
- Et enfin en cas de crise suis-je apte à communiquer et réagir ?

Cela a l’air plutôt simple, mais il est stupéfiant de voir l’écart entre le sentiment de sécurité qu’ont beaucoup d’organisations et la réalité qui est en fait rarement mesurée. Une des raisons de cela est bien sûr la compléxité des systèmes d’information croissante et les impacts de la mobilité par exemple. Mais si on ferme les fenêtres, il est effectivement plus dur pour quelqu’un de rentrer.

L’analyse des récentes attaques – une fois le bruit marketing et le savoir faire du communiquant dépassé – démontre que ce sont à chaque fois des vulnérabilités connues depuis longtemps qui sont exploitées.

Se prémunir n’est pas tout, comment réagir ?

Tout d’abord savoir communiquer autour de cela et avoir un plan de réaction organisé. Ne pas communiquer laisse la porte ouverte à toutes les spéculations et une communication maladroite ou “prétentieuse” peut amplifier l’incident et son impact, surtout dans des contextes où la menace est l’activisme (comme Anonymous par exemple).

Plan de communication, de contingence,… sont les éléments de base avec une implication des différents services qui doivent être coordonnés. Et avoir des protocoles d’échanges en place avec des experts, des institutions ou toute organisation qui permettra à l’entreprise de disposer de compétences pointues au besoin. Car contrairement à beaucoup d’organisations – les forces obscures échangent énormément alors que la plupart des entreprises ne le font pas tout en ne disposant pas forcément des compétences pour pouvoir réagir.

Mais encore faut il être capable de détecter que l’on a un problème ce qui est aujourd’hui un doux rêve pour beaucoup d’organisation.

Comment approcher la question de la sécurité ciblée ?

C’est intéressant comme question car il semble effectivement se dessiner aujourd’hui, du moins dans certaines organisation, l’impression que lorsqu’on est une cible pour certaines organisations et bien on peut rien faire.

Vu les moyens et ressources mises à disposition de la sécurité de l’information pour pas mal d’organisations (au-delà des discours parfois entendus) on peut comprendre cet état d’âme. La superficialité du traitement des événements liés à la sécurité des informations, relayée par nombre de médias pour que ces événements défraient la chronique, ne fitt effectivement qu’accentuer cette réflexion au niveau de certaines organisations.

Lors d’échanges avec certains de nos clients, on commence effectivement à entendre que l’effort des équipes sécurité se déportent plus sur la réaction que sur la simple prévention comme c’etait plutôt le cas dans le passé. Je pense pour ma part, que les fondamentaux sont la base des choses. On ne gère bien que ce que l’on maîtrise. Je pose régulièrement à nos prospects combien de sites web ils disposent par exemple. La réponse est dans 98% des cas – “je ne sais pas vraiment“. Entre les sites Webs institutionnels qui sont généralement bien maitrisés, les sites qui sont gérés dans le cadre des actions marketings, sous-traités à des prestataires,…. il devient très difficile de tenir un inventaire précis et donc encore moins de pouvoir assurer qu’on en maîtrise la sécurité. Lorsque certaines organisations disposent de 500, 1000 ou 3000 sites, on peut comprendre la complexité de cette gestion.

Quelles sont les trois actions urgentes à mettre en place en matière de sécurité ? Où mettre les efforts?

Pour Monsieur Sécurité, l’enjeu est l’identification des risques et leur réduction. Cela signifie que l’exercice de base qui doit être mené et cela de manière récurrente est le suivant:
- Identification des composants de mon système d’information
- Evaluation des risques auxquels ils sont exposés au moment présent
- Réduire ce risque et recommencer. On comprend aisément que lorsque dans une organisation on ne connait pas, par exemple où sont nos composants il est difficile de commencer à identifier les risques associés.

Et ce qui s’applique aux Entreprises s’applique aussi aux particuliers. Combien d’entre vous mettent à jour de manière régulière leur browser Web et tous les plug-ins qui y sont installés ? (ceux qui vous permettent de lire des pdf depuis votre browser, d’écouter de la vidéo,….). Les statistiques générées par notre service gratuit browsercheck.qualys.commontrent que 70% des gens qui viennent vérifier la sécurité de leurs browsers sont vulnérables. Lorsque l’on sait que le principal vecteur des malwares est aujourd’hui le web on comprend que les fenêtres sont grandes ouvertes.