L’industrie est minée par l’automatisation et des stratégies de sécurité mal inspirées
Plusieurs poids lourds de l'industrie de la sécurité ont redoublé d’efforts pour avertir les participants de la conférence InfoSec World 2012 que s'appuyer sur la seule technologie pour sécuriser les réseaux est une stratégie de sécurité IT perdante.
Les experts de la sécurité Marcus Ranum, RSSI de Tenable Network Security Inc, Chris Nickerson, fondateur et consultant principal de sécurité au Lares Consulting à Denver, et Alex Hutton, un analyste des risques, ancien de Verizon et actuellement directeur du risque opérationnel dans une institution financière, n'ont pas mâché leurs mots. Ils ont expliqué aux participants qu’ils ne parviennent pas à sécuriser leurs réseaux et qu’ils continueront d'échouer s’ils ne renoncent pas à leur état d’esprit centré sur la conformité, s’ils ne font pas l’effort de comprendre comment fonctionne leur entreprise, et de devenir plus proactifs au sujet de la sécurité. Au lieu d'acheter une autre solution pour automatiser les processus de sécurité, les panélistes estiment que les RSSI doivent identifier les principaux actifs de leurs entreprises, et embaucher et former des personnes talentueuses afin d'analyser leurs logs et protéger les données au cœur de l'entreprise.
"Cela n'est pas sorcier, il s'agit de prêter attention aux détails", a déclaré Ranum. "Le secteur de la sécurité a tendance à remplacer des gens intelligents par des processus idiots... Le Big Data ne va pas vous sauver; ce sont les personnes examinant vos données importantes qui vont vous sauver."
Un message difficile à avaler
La discussion était en partie légère, mais principalement conçue, selon les organisateurs de la conférence, pour donner au public une bonne dose de vérité, même si le message entendu des panélistes a été une pilule difficile à avaler. Au cours d'une session de questions/réponses, un participant est resté sans voix au micro lorsque Nickerson lui a demandé d'expliquer l'énoncé de mission de son entreprise et le participant a été incapable de le faire.
«Je pense que vous devriez essayer de protéger les choses qui sont importantes pour votre entreprise. Vous devez sortir de votre bureau et poser des questions», a déclaré Nickerson, s'adressant à l'auditoire. «Être homogène et dire que l’on peut tout protéger, c’est une stratégie perdante. Lorsque vous travaillez avec pour objectif un tel périmètre, vouloir protéger l'ensemble de l'entreprise - c'est fou.»
Nickerson pestait contre les RSSI qui tentent d'appliquer des standards de conformité et d'autres modèles pour protéger leurs systèmes, sans les personnaliser en fonction de la manière dont l'organisation exerce ses activités. Vouloir normaliser et homogénéiser est une stratégie vouée à l'échec, a-t-il estimé.
"Comme à la première étape du programme des alcooliques anonymes, nous devons admettre que nous avons un problème et essayer de le dépasser ", a dit Nickerson. "Nous avons échoué à l'apprentissage des règles générales d’engagement, et nous en sommes maintenant à protéger des choses sur la base d’un standard établi par un tiers au lieu de chercher à connaître nos limites et ce que l'on peut et ne peut pas faire pour protéger ce qui se trouve dans nos frontières au mieux de nos capacités."
Le ton franc et sans compromis des panélistes peut avoir dérangé quelques-uns des professionnels de la sécurité, a estimé un participant, un directeur de la sécurité informatique qui a refusé d’être cité. Selon lui, beaucoup de gens en charge de la sécurité IT de leur entreprise fonctionnent avec des ressources limitées en personnels et essaient tout de même de surveiller et de protéger les systèmes critiques malgré un budget serré.
«Nous sommes limités par les contraintes que l’entreprise elle-même nous impose et je pense que nous faisons de notre mieux avec les outils qu'on nous donne pour faire notre travail», a déclaré le participant. «C'est un coût prohibitif pour la plupart d'entre nous de faire des changements majeurs à nos programmes globaux et de les justifier à la haute direction.»
Évoluer vers la contre-mesure
Cependant, les panélistes ont également expliqué comment certaines organisations parviennent, selon eux, à faire correctement de la sécurité. Hutton a décrit le data warehouse massif de son organisation. Cette entreprise consolide pratiquement tout au sein de son data warehouse, capturant les adresses MAC et corrélant les logs de différents systèmes pour traquer les utilisateurs et détecter des comportements anormaux.
Pour l’essentiel, cette entreprise a tranformé le métier de ses équipes IT, les faisant passer d’installateurs et de mainteneurs en experts de la contre-mesure, a-t-il expliqué. La plupart des organisations font tout le contraire, en se concentrant sur l'achat de briques technologiques pour répondre à un objectif de conformité spécifique, a-t-il encore souligné.
"Votre principale menace est l’auditeur ou le régulateur, car c'est là que vous passez la majorité de votre temps," a ironisé Hutton, tout en ajoutant que «nous, nous mesurons tout... nous avons des gens qui ne font rien d’autre que de l'analyse statistique sur les comportements.»
En réponse à la question d'un participant, Ranum a assuré que pas un seul secteur d'activité ne sort du lot en matière de sécurité. Pour lui, il y a bien quelques agences gouvernementales qui sont particulièrement perspicaces, avant de souligner que la recherche d’une petite perle de la sécurité est très aléatoire. Pour lui, le géant de biotechnologie Amgen compte parmi les meilleurs à ce petit jeu, avec le spécialiste des cosmétiques Mary Kay, qui s’appuie sur un réseau de revendeurs indépendants pour commercialiser ses produits.
Selon Ranum, l’un des principaux soucis de l’entreprise était ces consultants qui braconnent des clients auprès d’autres consultants. L’entreprise a conçu une base de données tellement sûre que personne n’a le droit d’interroger ses données clients : «ils ont compris qu’ils avaient un souci d’administration des données,» a indiqué Ranum, précisant qu’ils «y ont donc répondu. Et maintenant, ils avancent.»
Adapté de l’anglais par la rédaction.