Un modèle innovant de sécurisation des données est nécessaire
La sécurité des systèmes d'information, ou plutôt son absence, a fait plus qu’à son tour la une de la presse pendant la première moitié de l’année 2011. La période a été marquée non seulement par la prévalence des vols de données sur les réseaux, mais également par la liste des victimes de renom en raison du nombre croissant d'agresseurs qualifiés aux méthodes sophistiquées.
Non seulement les infractions semblent être plus fréquentes, mais elles ont récemment touché aussi des sociétés considérées comme des modèles en matière de sécurité de l'information. Et pour aggraver les choses, la médiatisation des exploits entraine un signalement des incidents parfois préalable à l’information même des victimes. Alors qu’il reste encore deux mois avant la clôture de l'année 2011, on peut d’ores et déjà estimer que celle-ci sera celle du vol de données.
Le plus grand défi auquel sont confrontés les professionnels de la sécurité des informations est la nature des attaques elles-mêmes. Les incidents qui ont touché Sony, Citigroup, Epsilon, RSA, et d'autres plus tôt dans l’année, n'étaient pas l'œuvre de hackers s'amusant ou d’activistes essayant de semer le trouble dans ces différentes organisations. Les vols de données d’envergure répertoriés ici sont le fait de groupes organisés, bien formés et bien financés avec pour but de réaliser des opérations commerciales spécifiques quoique pénalement répréhensibles. Les attaquants sont aujourd'hui là pour l'argent ou bien parfois pour causer des dommages importants visant des organisations qu'ils n'aiment pas.
Répondre à cette menace grandissante nécessite rapidement un changement fondamental dans la manière d’aborder la sécurité des systèmes d’information. Pendant des années, les responsables de la sécurité se sont formés à l’idée de protéger l’entreprise à la manière d’une forteresse ou d’un coffre de banque. L'idéal sécuritaire en matière de SI était alors de construire un réseau aussi solide et impénétrable que possible.
Toutefois, les événements récents prouvent qu’aucun réseau – particulièrement ceux très nombreux autorisant une ouverture sur l’extérieur – ne peut être inviolable face à un attaquant déterminé combinant intelligence, patience, motivation et ressources. Les RSSI doivent désormais comprendre que le modèle qui a été mis en place depuis des années est à bout de souffle. Il n’est même plus temps de procéder à quelques ajustements mais bien de trouver un tout nouveau modèle de sécurité pour les données.
Cela commence par accepter l’idée que les attaquants finissent par s'introduire dans votre réseau et, deuxièmement, vous fixer comme objectif réalisable que les données ne puissent être compromises voir extraites que dans une toute petite limite. En adoptant et en appliquant ce modèle, les professionnels de la sécurité peuvent désormais concentrer leurs ressources sur la protection des données qui sont finalement, au-delà du réseau lui-même, la principale valeur de l’entreprise et celle dont la compromission pourrait entrainer les plus grands dommages.
Cette approche peut être assimilée à ce qui se pratique de longue date dans le commerce de détail. Les magasins ont compris qu’empêcher tout vol était impossible. Ils ont donc privilégié la protection des marchandises les plus précieuses, « délaissant » les objets de second rang. Il est en effet logique d’accorder plus d’importance à la protection d’une montre à 5 000 € qu’à celle d’une paire de chaussettes à 3 €…
Ce modèle de prévention basé sur la perte contrôlée dans le commerce de détail peu ainsi, moyennant un peu de travail, être adapté au secteur de la sécurité de l'information. Tout comme les organisations de vente au détail, les RSSI devront décider quelles sont les données les plus critiques et qui méritent donc à ce titre une plus grande protection. Tout comme pour une montre de luxe, les données les plus précieuses d'une organisation doivent être identifiées et des mesures de sécurité plus importantes doivent être développées pour en assurer la protection.
Ce nouveau modèle ne représente pas un recul. Au contraire, il reconnaît que la sécurisation de toutes les données dans une grande entreprise n'est plus possible, et qu’il revient aux professionnels de la sécurité de s’adapter en conséquence. Mais dans un premier temps c’est aux dirigeants que revient la tâche de décider quelles sont les données les plus importantes et de prendre les mesures qui s’imposent pour les protéger.
Article adapté d’une contribution de Phil Gardner et Chris Silva publiée sur SearchSecurity.com
Phil Gardner est le fondateur et PDG d’IANS, société de recherche et de conseils sur la sécurité. Il a notamment travaillé pour la sécurité de la Marine américaine et pour les groupes financiers et de conseils Goldman Sachs et McKinsey. Chris Silva a été analyste chez Forrester Research, il mène actuellement des recherches pour le compte d'IANS.