Les tendances 2012 doivent conduire à un changement des politiques de sécurité
Si les événements de 2011 apportent un enseignement sur le futur, les professionnels de la sécurité informatique doivent se préparer à une année intéressante et... pleine de défis.
En plus de maintenir des bonnes pratiques de sécurité standard, ils devront porter leur attention sur les défis posés par les nouvelles technologies, par de nouvelles menaces et de nouvelles lois dont, pour certains, la mise en œuvre exigera des modifications critiques des règles de sécurité. Voici donc quatre points à prendre en considération pour aborder 2012 en tenant compte de ces tendances.
Commencez à demander la permission d'utiliser des cookies
En 2012, l’une des priorités des entreprises disposant d’un site Web sera d'examiner leur recours aux cookies. Depuis mai 2011, les entreprises sont officiellement tenues de demander le consentement des visiteurs de leur site Web avant d’installer un cookie sur leur ordinateur. Jusqu'ici, peu d'organisations ont agi pour se conformer à la loi, probablement parce que l'ICO britannique - l’équivalent de la CNIL française - a accordé un délai de grâce d'un an pour permettre aux entreprises de procéder aux changements nécessaires. Toutefois, en décembre, l'ICO a rappellé aux entreprises ses exigences, et a annoncé que, à compter du 26 mai 2012, il appliquera les règles plus vigoureusement. Cela signifie que les entreprises disposant d’un site susceptible d’être consulté sur le territoire britannique ont désormais moins de cinq mois pour faire les modifications nécessaires.
"Si elles ne l’ont pas déjà fait, les entreprises doivent vérifier leur utilisation des cookies. IL est nécessaire qu'elles regardent ce qu'elles génèrent comme cookies, avec quel niveau de persistante et d’intrusivité", a déclaré Martin Fanning, spécialiste des technologies de l’information du cabinet d'avocats SNR Denton de Londres. "Puis, en suivant les nouvelles directives de l’ICO, elles doivent déterminer comment obtenir le consentement des internautes. L’ICO fournit pour cela quelques conseils."
Préparez-vous à une nouvelle réglementation sur la protection des données personnelles
Début 2012, la Commission européenne publiera de nouvelles règles de protection des données personnelles, destinées notamment à harmoniser les règles à l’échelle de l'UE et à renforcer la protection de ces données.
Les détails de ces nouvelles règles ne sont pas connus, mais une bonne partie de ce à quoi on peut légitimement s’attendre a déjà filtré. En particulier, des amendes pour les fuites graves pourraient coûter aux organisations jusqu'à 5 % de leur chiffre d'affaires global annuel (avec un plafond de l’ordre de 500 000 euros). Le texte devrait consacrer le «droit à l'oubli» pour les particuliers. En d'autres termes, les personnes ayant confié des informations personnelles à un site comme Facebook auront le droit de les supprimer dès qu’elles le souhaitent. Les particuliers devraient avoir le droit de migrer facilement leurs données d'un fournisseur de services à l'autre. Les prestataires de services traitant des données personnelles au nom d'autres organisations devraient être tenues responsables de toute incident susceptible de survenir - pour l’heure, c’est le donneur d’ordre, propriétaire des données, qui est responsable.
Ces nouvelles règles devront suivre le processus législatif européen, avant d’avoir force de loi. Dans l'intervalle, selon Fanning, les organisations devraient suivre avec attention les évolutions réglementaires liées à la protection des données personnelles.
«Il va s’écouler du temps avant que ces nouvelles règles ne soient adoptées. Et les dispositions peuvent encore changer. Mais certaines entreprises auront intérêt à se préparer à moyen et à long terme", estime Fanning. «Par exemple, les entreprises qui assurent le traitement de données personnelles ont intérêt à évaluer la manière dont ces propositions sont susceptibles d’affecter leurs conditions opérationnelles et leur approche du risque. Elles auront besoin de savoir si ces risques supplémentaires sont couverts par leur programme d'assurance existant.»
Appréhender différemment la multiplication des smartphones et des tablettes
Le succès croissant de l'iPhone et de l’iPad d’Apple, les problèmes endurés par les propriétaires de BlackBerry lors des interruptions de service en 2011, ont changé le paysage de la mobilité de manière durable.
Selon Matthias Pankert, responsable produits pour la sécurité des données chez Sophos, les terminaux mobiles nécessitent un nouveau pacte de confiance et de responsabilité entre les entreprises et les utilisateurs.
«Avec iOS et Android, le concept d’administrateur disparaît", estime Pankert. «L'utilisateur final gère tout, et il est difficile de lui imposer des choses ou même d’empêcher facilement des logiciels malveillants de venir contaminer ces appareils.»
Les entreprises doivent donc adopter une approche différente avec leurs utilisateurs, en leur laissant la souplesse nécessaire pour mêler travail et vie privée sur le même appareil, mais aussi pour les obliger à adopter une posture responsable vis-à-vis de la sécurité. Cette approche nécessitera beaucoup de communication et un peu de finesse de la part des responsables sécurité au contact des utilisateurs.
Méfiez-vous des APT, même si votre entreprise est petite
Certaines grandes entreprises, comme RSA et Sony, ont été touchées par des attaques ciblées au cours de 2011, et l’on peut raisonnablement supposer que de grandes organisations continueront à attirer l'attention des criminels ou des attaquants politiquement motivés. Ils mettront certainement en oeuvre tout l’arsenal disponible pour se protéger des attaques avancées persistantes (APT), mais que dire des petites entreprises ? Peuvent-elles se détendre ?
Probablement pas, parce que l'histoire nous montre que les techniques d'attaque les plus sophistiquées se banalisent rapidement. Les criminels codent des toolkits, et commencent à gagner de l'argent en les vendant à d'autres personnes moins pointues techniquement afin qu'elles puissent passer à l'acte à leur tour. Les pirates s'échangent en outre des informations sur Internet. Et une technique qui a fait ses preuves dans une attaque est rapidement reprise par d'autres criminels avant d’être utilisée plus largement.
«Attendez-vous à ce que la tendance des APT se poursuive en 2012, tout en se renouvelant. Les APT vont finir par viser monsieur et madame tout le monde», assure pour sa part Eric Aarrestad, vice-président marketing de Watchguard. «Les APTs de 2011 ont principalement touché les grandes organisations, comme les gouvernements, les fournisseurs de systèmes Scada, et les grandes entreprises. En 2012, des criminels moins pointus vont commencer à exploiter les techniques appris des APT, pour créer des logiciels malveillants plus avancés, ciblant les petites entreprises et même les particuliers.»
Pour faire face aux menaces attendues pour 2012, restez informés des changements à venir dans les règles légales de sécurité. Établissez une politique de sécurité claire et flexible pour la myriade d'appareils mobiles utilisés par vos collaborateurs. Hiérarchisez votre budget afin d'assurer la mise en place des systèmes de défense appropriés pour protéger votre entreprise des APT.
Adapté de l'anglais par la rédaction.