En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour la vente de prêt-à-porter haut de gamme
    <900 €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de costumes sur mesure
    A déterminer €
    > En savoir plus
  • Amélioration d'un site e-commerce Woocommerce pour la vente de produit de beauté
    A déterminer €
    > En savoir plus
Ixia_RGPD_leaderboard

Stockage et sécurité : la mitigation pour réduire le risque, mais où s’arrêter ?

Primobox_Demat RH_pave 2

Voici un avis d’expert de Richard Austin qui est membre du Groupe de travail technique de l’association SNIA (Storage Networking Industry Association), un organisme indépendant bien placé pour offrir une expertise approfondie et impartiale sur tous les aspects du stockage.

 

On entend très souvent parler de « sécurité », le mot est fréquemment utilisé, et le moins qu’on puisse dire c’est que c’est un souci partagé de nos jours par toutes les entreprises. D’ailleurs, les dépenses liées à la sécurité représentent entre 7 et 9 % du budget IT total des entreprises, d’après une enquête du SANS Institute en 2016. La plupart des gens s’accordent à dire qu’il vaut mieux en avoir trop que pas assez, mais le véritable problème réside au niveau de l’efficacité de la sécurité et non de la quantité.

Dans l’industrie du stockage, la sécurité n’est pas une chose, mais un état. L’état « de sécurité » existe une fois qu’une entreprise a pu gérer jusqu’à un niveau acceptable – que l’on définit comme étant son seuil de tolérance – tous les risques auxquels elle doit faire face. La protection des données sensibles, par exemple, est la raison principale pour laquelle un budget sécuritaire est nécessaire pour 68 % des entreprises.

Il s’avère qu’une grande partie de la confusion qui règne autour de la sécurité résulte d’un manque de compréhension des éléments qui la caractérisent. Nous avons tous une idée de ce qu’est un risque, le risque existant dans une grande majorité des situations de la vie courante et il semblerait que toutes ces situations aient plusieurs éléments en commun :

      Un risque de perte. En l’occurrence la perte des données de l’entreprise ;

      des solutions pour minimiser le risque (stockage des données sensibles, on-premise, conversion vers le cloud hybride etc.)

      des indicateurs du niveau du risque

Mathématiquement, il serait possible de regrouper ces trois facteurs en une équation qui voudrait que le risque soit déterminé par la taille et la probabilité des pertes, moins les mesures mises en place pour mitiger le risque. Cela revient à dire que plus des mesures de mitigation (atténuation) sont mises en place, plus le risque est réduit. Mais alors, comment savoir où s’arrêter ?

Un seuil de tolérance au risque variable

Les entreprises ont un seuil de tolérance au risque variable – certaines sont très conservatrices et appliquent un seuil de tolérance extrêmement bas. D’autres, comme par exemple une startup dynamique, peuvent avoir un seuil de tolérance bien plus élevé. Toutefois, l’industrie de la sécurité des données a tendance à rechercher la conformité, ce qui signifie mettre en application les recommandations qu’un organisme compétant et responsable (ou du moins on l’espère) juge nécessaire. Mais « sécurité » ne veut pas dire « conformité », bien que les deux coexistent et même se complètent. L’entreprise conforme est celle ayant respecté l’intégralité des exigences applicables qui figurent sur une liste, tandis que l’entreprise en sécurité, est celle ayant mitige tous les risques majeurs de son environnement, jusqu’à un niveau jugé acceptable.

Pour une entreprise, la gestion du risque signifie l’identification des risques présents dans son environnement et leur gestion pour les réduire autant que possible. Dans l’idéal, il y aurait tout d’abord une évaluation des risques qui aboutirait à une liste détaillée des dits risques, classés en ordre d’importance et qui permettrait de les gérer en mettant en place des mesures de contrôle, les mitigations. Par exemple une entreprise pourrait acheter et installer un pare-feu pour limiter les types de trafic entrant sur les serveurs ; ou acquérir une passerelle de messagerie qui pourrait analyser les e-mails entrant afin de détecter la présence de logiciels malveillants et ainsi de suite. De telles mesures ont un coût aussi bien en termes d’acquisition que d’utilisation, tandis que le budget de l’entreprise, ses ressources de personnel qualifié etc. auront toujours une limite, et c’est pour cette raison qu’il est primordial de mettre en œuvre les mitigations là où elles sauront le mieux réduire les risques. Sachant qu’un risque dépend en grande partie du type d’entreprise et de son environnement particulier, il est difficile de les cibler spécifiquement de manière générale. En revanche, les éléments qui favorisent les risques sont plus simples à cerner. Examinons donc de plus près les aspects qui peuvent augmenter les risques dans un environnement spécifique.

Les menaces utilisent et exploitent les vulnérabilités qui sont les « faiblesses d’un bien ou d’un groupe de biens pouvant faire l’objet d’une menace », (ISO/IEC 27032). Les vulnérabilités les plus courantes sont les incontournables failles logicielles qui occupent une grande partie du temps de nos équipes techniques, ou encore l’exemple de l’employé négligeant qui clique sur un lien dans un e-mail de provenance inconnue ayant pour sujet « Je t’aime ! ».

Une vulnérabilité exploitée déclenche un évènement, c’est-à-dire une « occurrence identifiée d’un système ou d’un réseau, indiquant une brèche possible dans la politique de sécurité de l’information, ou un échec des moyens de protection, ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité », (ISO/IEC 27000). Cet évènement peut bien sur avoir des conséquences nous affectant mais pas forcément, puisque la conséquence souhaitée par l’adversaire pourrait être stoppée par un dispositif tel qu’un anti programme malveillant qui bloquerait l’activation du lien dangereux de l’e-mail « Je t’aime ! ».

Le vecteur de la menace pour comprendre

Le vecteur de la menace est un autre concept utile pour mieux comprendre les vulnérabilités, ou encore vecteur d’attaque qui est défini selon l’ISO par le « chemin ou moyen par lequel un criminel peut accéder à un ordinateur ou à un réseau pour y introduire une menace », (ISO/IEC 27032). Un vecteur de menace représente ce qui relie un agent de menace à une vulnérabilité. Dans l’exemple « Je t’aime ! », l’e-mail agit comme vecteur.

Si la conséquence est assez significative, elle peut engendrer un incident de sécurité, c’est-à-dire « un ou plusieurs Voiciévénement(s) de sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la sécurité de l’information », (ISO/IEC 27000). Cela signifie que l’adversaire a probablement atteint son objectif de pénétrer les défenses de l’entreprise.

Bien que ces termes puissent sembler étranges et quelque peu cryptiques, ils constituent une méthode solide pour évaluer la probabilité et l’étendue des pertes. La probabilité dépend directement des menaces et des vulnérabilités (et à quel point il est facile pour une menace d’exploiter une vulnérabilité), tandis que les conséquences mesurent l’étendue des pertes. La gestion du stockage est puissante mais aussi relativement exposée car elle doit rester accessible aux personnes chargées de la gestion de toute l’infrastructure de stockage en interne ou à distance, au personnel d’assistance aux fournisseurs, ainsi qu’aux auditeurs.

Associez à cela la pratique courante de gestion « out-of-band », c’est-à-dire en mode non opérationnel et à distance, sur un réseau TCP/IP (le protocole pour les transferts de données sur Internet), et cela devient une cible très attrayante pour les adversaires. Et s’il y a bien un domaine dans lequel nos adversaires excellent, c’est bien celui des attaques lancées sur les réseaux TCP/IP. La raison principale et évidente étant que TCP/IP n’est pas un modèle de sécurité et de nombreux spécialistes ont mis à jour des failles qui permettent aux hackeurs de s’introduire frauduleusement dans les machines des autres. Le monde virtuel n’étant pas bien diffèrent du monde réel, nous y trouvons bien évidemment, des cambrioleurs, des voyeurs, des casseurs, avec toutes les nuisances que ça laisse supposer.

Tous ces éléments constituent des risques importants pour les sociétés, et doivent impérativement être mitigés, et pour cela, il faut que chaque société étudie ses propres failles afin de prévoir une solution adaptée à ses besoins et à ses attentes en matière de sécurité. L’histoire nous enseigne qu’une civilisation, pour garder la maîtrise de son destin, doit se donner les moyens de sa sécurité. Cela s’applique également aux sociétés.

 

 

 

 

Stockage et sécurité : la mitigation pour réduire le risque, mais où s’arrêter ?
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • APPLE BAISSE DE 50 DOLLARS LE PRIX DE LA BATTERIE DE L'IPHONE

    Après la révélation du bridage caché des des iPhone 6, 6S et SE, Apple a…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • "Le SD-Wan va devenir une tendance significative cette année", David Hughes - Silver Peak

    En ce début de nouvelle année, David Hughes, PDG et fondateur de Silver Peak, revient…

    > En savoir plus...
Etudes/Enquêtes
  • Startups Deep Tech : la France dans le Top 5 des investissements

    En Europe, depuis 2015, les investissements en capital-risque dans la "Deep Tech" ont augmenté 3…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Ixia_RGPD_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
GlobalK_Lean_skycraper