Sécurité de l’information: L’importance du réveil des organisations.

5,687 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,687
On SlideShare
0
From Embeds
0
Number of Embeds
4,694
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sécurité de l’information: L’importance du réveil des organisations.

  1. 1. ::::dossier Jean-François Ferland :::: Sécurité de l’information : L’importance du réveil des organisations L a quantité et l’importance de Michel Cusin, de la firme Cusin Sé- La situation est plus nuancée du côté l’information numérique progres- curité à Québec, constate que la sécurité des entreprises de moyenne taille, alors sent dans les organisations, mais de l’information n’occupe pas encore qu’on manque de personnel et que la les menaces envers celle-ci évoluent plus la place qu’elle devrait prendre dans les sensibilisation de la direction n’est pas rapidement. Se soucie-t-on assez de la organisations. « C’est un mal nécessaire, élevée. La plupart des petites entreprises sécurité de l’information? un centre de coût, quelque chose de sont plutôt vulnérables, se sentent moins Vu le caractère essentiel des données secondaire tant et aussi longtemps que visées et manquent de moyens. » dans un contexte d’affaires, les organisa- quelque chose de grave n’est pas arrivé. Dave Martin, le vice-président et tions québécoises doivent se préoccuper Tout le monde en parle, tous ont un responsable de la sécurité chez le four- plus que jamais de la sécurité de l’infor- pare-feu et un antivirus et disent avoir nisseur technologique EMC, siège au mation. Or, il reste encore du chemin à une politique de sécurité, mais nous conseil Security for Business Innovation parcourir. Non seulement des organi- sommes dix ans en arrière sur ceux qui Council qui est composé de responsables sations n’appliquent pas la sécurité de attaquent. Les gens ont encore le même de la sécurité de l’information au sein de base de façon optimale ou n’ont pas de discours qu’à l’époque, mais le paysage grandes organisations mondiales. Depuis politique officielle, mais elles n’adap- a changé. »  trois ans il observe que les organisations tent pas leurs pratiques aux nouveaux « Les grandes organisations au sont plus disposées à discuter de ce enjeux tels que les menaces persistantes Québec sont bien organisées ou le sont qu’elles devraient faire et semblent poser avancées, les logiciels malveillants ciblés de mieux en mieux, observe Michel des gestes tangibles. « Toutes n’ont pas et l’ingénierie sociale. Boutin, de la firme In Fidem à Montréal. atteint les mêmes niveaux de sécurité, 12 Mars/Avril 2013 - Directioninformatique.com
  2. 2. ::::indique-t-il. Certaines organisations qui la sécurité de l’information doit passer « Les moyennes et les grandes entre-ont un programme élaboré sont actives à travers plusieurs filtres et qu’un choc prises se sont dotées d’outils de préven-et d’autres qui se "réveillent" tentent budgétaire se produit lorsqu’il a des tion et d’identification des vulnérabilitésd’en faire autant. Le changement ne solutions à proposer, car son supérieur et des menaces et la sensibilisationsurvient pas du jour au lendemain, a d’autres priorités. À son avis, un enjeu des employés a été améliorée, mais lesmais des entreprises désirent établir un de crédibilité empêche la fonction de organisations sont plus vulnérables faceprogramme de sécurité en plusieurs la sécurité de l’information de s’élever aux nouvelles tendances qui sont descouches, avec de la profondeur, qui leur dans l’entreprise. vecteurs de maliciels actifs, comme lepermettra d’être en mode défensif et de « Historiquement, tant que le BYOD, ou bien de vandalisme, comme dossierposer les bons gestes. » chef de l’informatique n’a pas réussi l’usurpation d’identité dans les médias à montrer sa valeur, il n’a pu monter sociaux. La meilleure défense est d’avoirInsouciance et inattention dans l’organisation. Mais cette recon- un système de gestion de crise et deAlors que des organisations ont recours naissance de valeur impliquait aussi une réaction rapide, pour prévoir les coupsà des ressources humaines et technolo- démonstration de valeur de sa part. Les et minimiser les dégâts », souligne M.giques et effectuent constamment de responsables de la sécurité de l’infor- Boutin.la veille en sécurité de l’information, mation sont rendus au même point. La sécurité de l’information étantpour d’autres le sujet ne constitue pas un sujet complexe qui évolue constam-une source de préoccupation. Pourtant, ment et qu’on ne peut traiter briève- Tout le monde en parle, tous ontl’argument voulant qu’une organisation un pare-feu et un antivirus et disent ment, il est impératif pour les organi-suscite peu l’intérêt des malfaiteurs avoir une politique de sécurité, mais sations québécoises d’y accorder unenumériques en raison de sa taille, de nous sommes dix ans en arrière sur grande attention, et ce en tout temps.son marché ou de son positionnement ceux qui attaquent. Les gens ont en- « Des organisations sont confortablesgéographique ne tient plus la route. Les core le même discours qu’à l’époque, dans leur position en se disant qu’ellesrecherches à l’aveugle de brèches sont mais le paysage a changé. ont dépensé ixe milliers de dollars pourune réalité qui ne met aucune organisa- — Michel Cusin la sécurité et qu’elles sont "correctes",tion à l’abri d’une intrusion malicieuse à mais la sécurité ne n’achète pas, elle sedes fins directes (obtenir des données) construit », affirme Michel Cusin.ou indirectes (établir un réseau zombie Ils doivent parler de la valeur de gérer « Plusieurs ont un faux sentiment depour attaquer ailleurs). les risques dans une perspective où les sécurité parce qu’elles ont des équipes Un aspect inquiétant réside dans gestes posés apporteront de la valeur à et des solutions en place, mais leur pré-l’ignorance des organisations qu’elles l’entreprise. » sence ne garantit pas nécessairementpeuvent faire l’objet d’une brèche à leur que le travail est bien fait, poursuit M.insu depuis un bon moment. Michel Mettre la sécurité à l’avant-plan Cusin. Aussi, elles n’ont pas encore euCusin évoque un rapport de l’entreprise Alors que des technologies comme une grosse brèche qui les a renduesde sécurité américaine Mandiant, paru l’infonuagique, les données volumineu- conscientes de ce qui s’est passé. Or, leen 2012 où l’on affirme que seulement ses, les médias sociaux et la mobilité travail d’un bon attaquant, c’est de ne6 % des attaques informatiques sont suscitent l’intérêt des organisations, l’in- pas se faire prendre... »identifiées par l’organisation même. tégration de ces éléments à l’entreprise« Donc 94 % des attaques avaient été peut amplifier les risques si la sécurité dedécouvertes ou annoncées par des tiers. l’information n’est pas considérée dèsLes gens ne savent pas ce qui se passe à l’amorce d’un projet d’intégration. Selonl’intérieur de leur réseau », souligne-t-il. Dave Martin, l’organisation doit changer D’autre part, si le responsable des d’approche. Plaidoyer pour la sécurité detechnologies de l’information obtient « Vu ce que les organisations veu- l’information en internel’attention de la direction d’une orga- lent faire présentement implique plus Des comportements à l’intérieur d’unenisation, le responsable de la sécurité d’agilité que jamais, la complexité de organisation qui touchent à la sécuritéde l’information n’a pas nécessaire- l’infrastructure de sécurité traditionnelle de l’information peuvent avoir d’im-ment le même privilège. Parfois c’est le rend la chose difficile puisqu’elle obstrue portantes répercussions pour l’entre-responsable des TI qui porte le cha- et exerce un contrôle autoritaire, affirme- prise, affirme l’avocate Katerine Poirier.peau, ce qui peut entraîner des conflits t-il. Il faut une approche nouvelle où led’intérêts. Parfois, la responsabilité se défi est d’appliquer la sécurité de façontrouve à deux ou trois niveaux sous efficiente et rapide sans tuer la souplesse Article complet :le niveau du responsable des TI et de de l’organisation. Comment peut-on bit.ly/10PkLNMla direction de l’organisation. Michel utiliser la technologie d’une façon sécuri-Boutin explique que le responsable de taire dès le départ? »Directioninformatique.com - Mars/Avril 2013 13

×