InfoSec : dans la sécurité, l’humain reste le maillon faible
Grand messe du petit monde de la sécurité des systèmes d’information, InfoSec, qui a ouvert ses portes ce mardi 22 avril à Londres, replace l’humain au sein des préoccupations. En particulier, la majorité des violations de sécurité trouve encore des causes internes aux organisations, plutôt qu’externes.
Martin Smith (ci-dessous en photo), président du conseil d’administration et fondateur de The Security Company, n’y va pas par quatre chemins, ce matin du 22 avril, alors qu’il présente les résultats d’un sondage effectué auprès d’entreprises britanniques pour le compte du Ministère chargé de la réforme des entreprises et de la réglementation (Business Enterprises and Regulatory Reform, BERR), l’Information Security Breaches Survey (ISBS) 2008 : « tous les problèmes de sécurité renvoient à une défaillance humaine, pas une défaillance technique. » Mais qu’on ne s’y trompe pas : pour Martin Smith et Andrew Beard, de PriceWaterhouseCoopers qui a participé à la réalisation du sondage, ce constat, ainsi que d’autres tirés des résultats de l’enquête, s’appliquent bien au-delà des frontières du Royaume-Uni. Notamment en France, où l'affaire Kerviel a rappelé, s'il en était besoin, l'acuité du problème.
Les errements des politiques de sécurité
Bien sûr, la sécurité réseau n’est pas encore absolue : 13 % des RSSI américains interrogés l’an dernier (dans le cadre du Computer Security Institute Computer Crime and Security Survey) reconnaissaient avoir été piratés de l’extérieur. Mais il n’en reste pas moins qu’une part croissante des menaces vient de l’intérieur même des organisations. L’ISBS 2008 montre ainsi que 62 % des violations de sécurité en 2007 au Royaume-Uni ont trouvé une source interne, contre 32 % en 2005 ; une tendance que l’on retrouve dans le sondage Global State of Security conduit par PricewaterhouseCoopers avec CIO Magazine et CSO Magazine.
Pour Andrew Beard, si ces violations ne sont pas forcément le fait d’initiatives malveillantes, elle posent néanmoins la question de la confiance envers les utilisateurs mais aussi, voire surtout, de la conception et de l’application des politiques de sécurité des organisations. Ces dernières sont particulièrement pointées du doigt en matière de formation et d’adhésion des utilisateurs aux politiqués de sécurité.
Pour appuyer ce discours, les organisateurs d’InfoSec sont allés jusqu’à mettre en place un site Web dédié à la promotion des problématiques de sécurité, Infosecurity Adviser.
Des données critiques, oui mais lesquelles ?
Alors que les éditeurs et prestataires de services s’affairent à importer sur le vieux continent le concept américain de DLP – Data Loss Prevention –, certains, comme Philip M. Dunkelberger, PDG de PGP Corp (ci-dessus en photo), renvoie cette nouvelle problématique à l’humain et à ses organisations. Une fois encore. Pour lui, la priorité des entreprises doit être de « comprendre leurs flux de données ; c’est un processus très complexe. »
Mark Forrest, responsable commercial de ClearSwift, enfonce le clou : « les entreprises ont un mal fou à définir les politiques de protection dont elles ont besoin. » Et Philip Dunkelberger de souligner que les réglementations – aux Etats-Unis en particulier – ne détaillent pas les modes de fuites de données potentiellement répréhensibles. De quoi donner du champ aux éditeurs et prestataires de service pour proposer des solutions au périmètre toujours plus étendu.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Incidents cyber : le risque principal pour des entreprises qui n’en ont pas conscience
-
Utiliser les sondages de Qualtrics pour améliorer l’engagement des employés
-
Campagnes, sondages internes, automatisation et marketplaces : les promesses de Workday pour 2019
-
Cybersécurité : l’impréparation continue de dominer