Sécurité : pour Art Coviello, RSA, il faut continuer d’éduquer mais il faut plus d’action
Intervenant en ouverture de l’édition européenne de sa conférence utilisateurs, qui se déroulait la semaine dernière à Londres, Art Coviello, président exécutif de RSA, a souligné la transformation de la menace informatique. Un contexte dans lequel l’éducation continuera de jouer son rôle mais qui trouve ses limites face à la détermination des attaquants.
L’attaque contre RSA, une autre contre le gouvernement australien en mars, puis Sony, Google, DigiNotar... l’année 2011 est chargée en importantes attaques informatiques. Mais, pour Art Coviello, président exécutif de RSA, «ce n’est que le sommet de l’iceberg ». Il insiste sur le fait que ces différentes attaques ont été menées par des groupes différents, «avec des motivations et des méthodes différentes ». Bref, pour lui, tout cela doit surtout conduire à une conclusion : «la sécurité conventionnelle n’est ni efficace, ni suffisante» et, surtout, il faut devenir «plus agile» pour la simple raison que les attaquants eux-mêmes «tirent profit des vulnérabilités avec plus de rapidité et d’agilité qu’avant». Pour Art Coviello, si des systèmes de protection périmétrique tels que les IDS et les anti-virus sont inopérants contre du code malicieux zero-day diffusé dans un e-mail, d’autres solutions peuvent aider. Mais c’est une approche en trois volets qu’il recommande : appréhender la sécurité sous l’angle du risque - Eddie Schwartz, RSSI de RSA le dira plus tard à l’occasion d’une session de questions/réponses avec la presse : «il faut comprendre que l’on ne peut pas tout sécuriser de la même manière» -; déployer des dispositifs de suivi et d’analyse des comportements - des utilisateurs mais aussi des systèmes - en profondeur ; enfin intégrer la dimension du contexte dans lequel les comportements sont analysés afin de donner du sens à l’analyse et lui permettre de servir de fondement à la prise de décision. Bref, mettre une pincée de décisionnel dans la sécurité. Pour Art Coviello, c’est d’ailleurs bien simple : «l’âge du Big Data en sécurité est arrivé.» Pour lui, la question n’est pas de savoir si l’on sera vulnérable ou pas; il faut trouver «comment réduire la fenêtre de la vulnérabilité ».
«Nous avons suffisamment conscience de la menace»
Et pour lui, même si le spear phishing peut avoir des airs d’approche très basique pour infiltrer une organisation, l’éducation ne suffit pas et ne suffira pas. «J’ai témoigné, la semaine dernière, devant le Congrès. J’ai entendu dire que nous devons être plus conscient des menaces informatiques. De mon côté, je pense que la conscience est suffisante. Ce dont nous avons besoin, c’est de plus d’actes », nous a-t-il indiqué lors d’un entretien : «nous ne pouvons pas laisser les consommateurs, soit penser que la situation est sans espoir, soit qu’ils sont en sécurité parce qu’ils appliquent les mises à jour. [...] Je crois que, quel que soit le niveau d'éducation des personnes, il y aura toujours des victimes des attaquants. C’est pourquoi il est si important que nous [fournisseurs de technologies et gouvernements] contribuions mieux à protéger chacun de la menace.» Pour autant, pas question de laisser de côté la formation mais... l’internaute moyen n’a aucune chance face à un cybercriminel ». Surtout, quelque soit le niveau de prudence de chacun, «on a toujours besoin d’être protégé de soi-même». Faisant un parallèle avec la sécurité aéroportuaire, il relève que «l’on trouvera toujours quelqu’un pour garder de grands ciseaux dans son bagage cabine. C’est pour cela que l’on a installé des machines à rayons X ». Et puis tout le monde n’a pas le niveau de méfiance nécessaire... Le parallèle utilisé est intéressant en cela qu’il pose la question du rôle des États dans la sécurité sur Internet. Peut-être par la régulation. En tout cas, pour Art Coviello, la sécurité doit être intégrée aux applications de la même manière que les gouvernements obligent les constructeurs immobiliers à intégrer certains dispositifs de sécurité dans leurs réalisations. «Les États sont légitimes à définir des régulations; c’est leur rôle. [...] Mais nous préférons une réglementation qui se concentrent sur les objectifs plutôt que sur les moyens.»