Sécurité : les RSSI minés par trop d’équipements
Une table ronde organisée à l’occasion de la RSA Conference 2015 a souligné le défi d’un trop grand nombre d’équipements de sécurité, qui plus est disparates.
Les portefeuilles d’équipements de sécurité sont bien remplis. Trop, bien souvent, au point qu’ils pourraient être considérablement allégés. Mais encore faut-il que les RSSI trouvent comment s’y prendre.
C’était le thème principal d’une discussion entre pairs, la semaine dernière, à RSA Conference. Wendy Nather, directeur de recherche chargé de la sécurité de l’information chez 451 Research, a ainsi interrogé une salle pleine de RSSI : qui pense pouvoir alléger son environnement de sécurité ? Presque toutes les mains se sont levées dans la salle. Mais quant à savoir comment s’y prendre… les réponses n’ont pas surgi aussi rapidement.
Toutefois, Nather a pu parvenir à identifier quelques pistes à l’issue de la conversation qui s’en est suivie.
Commencer par consolider
Eliminer le shelfware est l’une des approches les plus évidentes : il s’agit de supprimer les technologies inutilisées issues de fusions, d’acquisitions, ou encore de projets abandonnés. Si les entreprises peuvent éliminer ces outils intuilisés, les ressources qui leur sont dédiées peuvent être transférées ailleurs.
Réduire la surcharge est également important, relève Nather. Et cela passe par la consolidation des technologies et des outils d’administration. Un participant travaillant pour un cabinet immobilier a indiqué avoir réussi à réduire son éparpillement fournisseurs de 42 à 3 en recourant à l’externalisation. De quoi réduire son budget sécurité annuel de 28 %.
Un RSSI du secteur de l’assurance a quant à lui relevé que son organisation disposant de plus de 50 outils de sécurité largement redondants. Mais aucun d’entre eux n’a jamais été éliminé ni consolidé parce que certains disposaient de fonctionnalité « plutôt sympa » et les faisant sortir du lot. Son entreprise cherche actuellement à améliorer la situation.
De son côté, la RSSI d’un détaillant a réussi à nettoyer son environnement en partant d’un inventaire complet et rigoureux de ses solutions, tenant compte de leurs fonctionnalités. De quoi éliminer un certain nombre d’outils « oubliés ». Cette RSSI a également noté que, parfois, les produits en place n’avaient pas été proprement mis à niveau pour tirer profit de nouvelles fonctionnalités. Dès lors, pour elle, il est possible d’économiser des ressources et des investissements dans de nouveaux outils en construisant un inventaire des technologies et de leurs capacités.
Et Nather de surenchérir, soulignant l’importance du suivi des évolutions – dans les technologies mais également les usages. Comme l’ont relevé de nombreux participants, les outils centrés sur le réseau ne peuvent pas gérer efficacement les environnements mobiles distribués actuels. Pour l’un d’entre eux, son organisation de 350 000 employés – dont bon nombre de nomades – ne peut tout simplement pas faire confiance à la sécurité périmétrique traditionnelle ; sécuriser les terminaux et la message électronique s’avère plus efficace pour réduire le risque.
Connaître ses technologies
Comprendre la technologie avant de l’adopter – ce qu’une entreprise doit faire de manière continue pour rester à jour et efficace – est également critique pour Nather.
Lors de son discours d’ouverture, Amit Yoran, président de RSA, a qualifié le SIEM de puit financier sans fond. L’avis des RSSI est plus nuancé. Pour une majorité des participants au débat, les SIEM sont effectivement onéreux. Mais il ne s’agit d’une technologie que l’on installe et que l’on oublie, qui se contente de fournir des solutions aux problèmes de manière totalement autonome : avec les bonnes attentes, le SIEM peut être bénéfique.
« Chaque outil que vous ajoutez à votre environnement s’accompagne d’une courbe d’apprentissage pour celui qui l’administre », relève Nather : « et si vous n’avez pas les ressources nécessaires, cela termine en shelfware ».
Reste que certains outils ne peuvent pas être éliminés, pour des questions de conformité ou en raison des investissements qui seraient nécessaires. Alors, leur dédier le strict minimum de ressources et réduire leur utilisation peut constituer un début de réponse.
Selon un participant, la personnalisation peut également aider. Son organisation, dans le secteur de l’assurance, a adopté un seul outil multifonctions qui offre contrôle à distance, gestion des correctifs, chiffrement et d’autres fonctions. Une fois l’outil adopté, son équipe de sécurité a découvert que construire leur propre code et leurs scripts maison aidait à obtenir des informations plus utiles et plus aisément exploitables.
Au final des échanges, il est apparu clairement que les environnements de sécurité sont souvent difficiles à transformer sans l’appui des dirigeants. Dès lors, s’assurer que chaque outil jouit d’une justification métier ainsi que d’une justification sécurité est essentiel pour maintenir un portefeuille efficace. C’est également l’une des meilleures façons de réussir son changement et, in fine, de réduire les redondances et les gâchis.
Et pour Nather, l’entreprise peut retirer là d’autres bénéfices que la seule réduction du risque, avec notamment la réalisation d’économies : « c’est comme la cuiller de sucre qui aide à faire passer le médicament ».
Avec nos confrères de SearchSecurity.com