Art Coviello (RSA) identifie quatre difficultés majeures pour faire avancer la sécurité
Depuis plusieurs mois, le président exécutif de RSA milite en faveur d’une approche de la sécurité basée sur l’analytique «Big Data». Mais, constatant la lenteur des organisations à adopter ce nouveau modèle, il pointe quatre difficultés majeures. Dont une approche peut-être un peu trop conservatrice de la protection de la vie privée.
Les exactions de certains États-nations, des cyberterroristes, des cybercriminels, des hacktivistes... rendent nécessaire un nouveau modèle de cybersécurité. Un modèle basé sur «le renseignement », a expliqué en substance Art Coviello, président exécutif de RSA, en ouverture de l’édition européenne de la conférence RSA, ce mardi 9 octobre à Londres. Comme il le soulignait déjà en février dernier, lors de l’édition américaine de la conférence, la sécurité informatique doit donc passer à l’heure de l’analytique «Big Data ». Mais encore faudrait-il pour cela que les budgets soient adaptés. Or, selon Art Coviello, «80 % des budgets sont consacrés à la prévention selon des approches périmétriques».
Pour lui, «à l’âge de l’ouverture [des systèmes d’information], il faut changer cela parce que, sinon, il sera très difficile de détecter les incidents et de limiter les pertes induites ». Et de souligner, lors d’une séance de questions/réponses à la presse, que les infrastructures de sécurité des entreprises se sont construites, historiquement, en réaction à des menaces, «en couches de contrôle - sur les données, les réseaux, les identités - isolées en silos et pour la plupart conçues sur un modèle périmétrique ».
Le SIEM ne faisant qu’ajouter une couche de consolidation, juste en dessous d’une ultime couche de gouvernance et de gestion de la conformité. Une ultime couche, certes, mais qui permet enfin d’aborder la sécurité comme il se devrait, selon le président exécutif de RSA : sous l’angle du risque. Et de pointer que, bien que les SIEM aient fortement progressé et soient désormais capables de gérer de vastes volumes de logs systèmes, «de nombreuses organisations ne les ont pas adoptés ».
Art Coviello souligne les quatre défis à relever pour améliorer la sécurité des systèmes d'information.[/caption] Mais la problématique ne se limite pas à une composante économique ou technologique. La sécurité informatique manque de compétences : selon une étude Forrester citée par Art Coviello, il y avait 2 250 000 professionnels de la sécurité à travers le monde en 2010. Il en faudrait près du double en 2015. Toujours sur le terrain de l’humain, il y a la question de compréhension de la menace : «la conscience est là, mais nous devons comprendre.»
Et cela suppose de replacer les informations sur les menaces dans un contexte qui permette de les exploiter : «certains menaces sont parfois traitées avec trop de sensationnalisme par la presse», et pas assez de contextualisation, selon Art Coviello. Reste que, selon lui, «l’étendu du problème reste cachée ». Notamment parce que la plupart des entreprises «n’ont pas envie d’être embarrassées» publiquement par la communication d’un incident de sécurité. Alors elles se refusent à communiquer. Alors qu’elles devraient le faire, selon lui. Ou au moins échanger des informations, rapidement, pour que la découverte d’activités suspectes puisse profiter plus largement à d’autres.
Face à la menace, toutes les entreprises ne sont pas égales. Mais les plus grandes entreprises ne sont pas forcément celles qui affichent le niveau de «maturité» le plus élevé : «j’ai vu de grandes entreprises être particulièrement naïves face à la menace », explique Art Coviello, précisant que le niveau 0 de la maturité, c’est de se limiter aux couches de contrôle périmétriques - «si le SI de ces organisations n’est pas totalement compromis, c’est qu’elles ont beaucoup de chance.
Mais le plus probable est qu’elles soient un noeud de botnet en devenir.» Pas beaucoup plus tendre avec celles qui se concentrent sur la conformité : le président exécutif de RSA estime qu’elles «sont plus préoccupées par la forme que par la substance. La conformité ne devrait être qu’un effet secondaire d’une sécurité bien abordée». Le dernier point touche à un sujet propre à faire naître de nombreuses controverses : les règles de protection de la vie privée.
Pour Art Coviello, certains assouplissements ou ajustements législatifs ne seraient semble-t-il pas mal venus : «à la moindre proposition d’État pour renforcer la protection des systèmes d’information, [les défenseurs des libertés civiles] crient à Big Brother... mais les données personnelles des citoyens sont déjà menacées par les cybercriminels.» Qu’est-ce qui est le plus le grave, en somme ? Pour lui, «les défenseurs des libertés individuelles doivent penser risque».
A titre d’exemple, il évoque le projet de directive européenne sur la protection des données sensibles et personnelles. Art Coviello estime que, pour assurer cette protection, les organisations n’auront d’autre choix que de mettre en oeuvre des solutions susceptibles de rentrer en conflit avec les règles de protection de la vie privée, comme celles qui assurent la captation complète des trafics réseaux.
Une équation insoluble ? Se déclarant lui aussi attaché à la protection de sa vie privée, il veut croire qu’il existe des moyens de concilier les deux objectifs. Mais quoiqu’il en soit, pour Art Coviello, il faut avancer : «nous serions vraiment fous de ne pas agir et changer.»