Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Sécurité de l’information: L’importance du réveil des organisations.
1. ::::
dossier
Jean-François Ferland ::::
Sécurité de l’information :
L’importance du réveil des
organisations
L
a quantité et l’importance de Michel Cusin, de la firme Cusin Sé- La situation est plus nuancée du côté
l’information numérique progres- curité à Québec, constate que la sécurité des entreprises de moyenne taille, alors
sent dans les organisations, mais de l’information n’occupe pas encore qu’on manque de personnel et que la
les menaces envers celle-ci évoluent plus la place qu’elle devrait prendre dans les sensibilisation de la direction n’est pas
rapidement. Se soucie-t-on assez de la organisations. « C’est un mal nécessaire, élevée. La plupart des petites entreprises
sécurité de l’information? un centre de coût, quelque chose de sont plutôt vulnérables, se sentent moins
Vu le caractère essentiel des données secondaire tant et aussi longtemps que visées et manquent de moyens. »
dans un contexte d’affaires, les organisa- quelque chose de grave n’est pas arrivé. Dave Martin, le vice-président et
tions québécoises doivent se préoccuper Tout le monde en parle, tous ont un responsable de la sécurité chez le four-
plus que jamais de la sécurité de l’infor- pare-feu et un antivirus et disent avoir nisseur technologique EMC, siège au
mation. Or, il reste encore du chemin à une politique de sécurité, mais nous conseil Security for Business Innovation
parcourir. Non seulement des organi- sommes dix ans en arrière sur ceux qui Council qui est composé de responsables
sations n’appliquent pas la sécurité de attaquent. Les gens ont encore le même de la sécurité de l’information au sein de
base de façon optimale ou n’ont pas de discours qu’à l’époque, mais le paysage grandes organisations mondiales. Depuis
politique officielle, mais elles n’adap- a changé. » trois ans il observe que les organisations
tent pas leurs pratiques aux nouveaux « Les grandes organisations au sont plus disposées à discuter de ce
enjeux tels que les menaces persistantes Québec sont bien organisées ou le sont qu’elles devraient faire et semblent poser
avancées, les logiciels malveillants ciblés de mieux en mieux, observe Michel des gestes tangibles. « Toutes n’ont pas
et l’ingénierie sociale. Boutin, de la firme In Fidem à Montréal. atteint les mêmes niveaux de sécurité,
12 Mars/Avril 2013 - Directioninformatique.com
2. ::::
indique-t-il. Certaines organisations qui la sécurité de l’information doit passer « Les moyennes et les grandes entre-
ont un programme élaboré sont actives à travers plusieurs filtres et qu’un choc prises se sont dotées d’outils de préven-
et d’autres qui se "réveillent" tentent budgétaire se produit lorsqu’il a des tion et d’identification des vulnérabilités
d’en faire autant. Le changement ne solutions à proposer, car son supérieur et des menaces et la sensibilisation
survient pas du jour au lendemain, a d’autres priorités. À son avis, un enjeu des employés a été améliorée, mais les
mais des entreprises désirent établir un de crédibilité empêche la fonction de organisations sont plus vulnérables face
programme de sécurité en plusieurs la sécurité de l’information de s’élever aux nouvelles tendances qui sont des
couches, avec de la profondeur, qui leur dans l’entreprise. vecteurs de maliciels actifs, comme le
permettra d’être en mode défensif et de « Historiquement, tant que le BYOD, ou bien de vandalisme, comme
dossier
poser les bons gestes. » chef de l’informatique n’a pas réussi l’usurpation d’identité dans les médias
à montrer sa valeur, il n’a pu monter sociaux. La meilleure défense est d’avoir
Insouciance et inattention dans l’organisation. Mais cette recon- un système de gestion de crise et de
Alors que des organisations ont recours naissance de valeur impliquait aussi une réaction rapide, pour prévoir les coups
à des ressources humaines et technolo- démonstration de valeur de sa part. Les et minimiser les dégâts », souligne M.
giques et effectuent constamment de responsables de la sécurité de l’infor- Boutin.
la veille en sécurité de l’information, mation sont rendus au même point. La sécurité de l’information étant
pour d’autres le sujet ne constitue pas un sujet complexe qui évolue constam-
une source de préoccupation. Pourtant, ment et qu’on ne peut traiter briève-
Tout le monde en parle, tous ont
l’argument voulant qu’une organisation un pare-feu et un antivirus et disent ment, il est impératif pour les organi-
suscite peu l’intérêt des malfaiteurs avoir une politique de sécurité, mais sations québécoises d’y accorder une
numériques en raison de sa taille, de nous sommes dix ans en arrière sur grande attention, et ce en tout temps.
son marché ou de son positionnement ceux qui attaquent. Les gens ont en- « Des organisations sont confortables
géographique ne tient plus la route. Les core le même discours qu’à l’époque, dans leur position en se disant qu’elles
recherches à l’aveugle de brèches sont mais le paysage a changé. ont dépensé ixe milliers de dollars pour
une réalité qui ne met aucune organisa- — Michel Cusin la sécurité et qu’elles sont "correctes",
tion à l’abri d’une intrusion malicieuse à mais la sécurité ne n’achète pas, elle se
des fins directes (obtenir des données) construit », affirme Michel Cusin.
ou indirectes (établir un réseau zombie Ils doivent parler de la valeur de gérer « Plusieurs ont un faux sentiment de
pour attaquer ailleurs). les risques dans une perspective où les sécurité parce qu’elles ont des équipes
Un aspect inquiétant réside dans gestes posés apporteront de la valeur à et des solutions en place, mais leur pré-
l’ignorance des organisations qu’elles l’entreprise. » sence ne garantit pas nécessairement
peuvent faire l’objet d’une brèche à leur que le travail est bien fait, poursuit M.
insu depuis un bon moment. Michel Mettre la sécurité à l’avant-plan Cusin. Aussi, elles n’ont pas encore eu
Cusin évoque un rapport de l’entreprise Alors que des technologies comme une grosse brèche qui les a rendues
de sécurité américaine Mandiant, paru l’infonuagique, les données volumineu- conscientes de ce qui s’est passé. Or, le
en 2012 où l’on affirme que seulement ses, les médias sociaux et la mobilité travail d’un bon attaquant, c’est de ne
6 % des attaques informatiques sont suscitent l’intérêt des organisations, l’in- pas se faire prendre... »
identifiées par l’organisation même. tégration de ces éléments à l’entreprise
« Donc 94 % des attaques avaient été peut amplifier les risques si la sécurité de
découvertes ou annoncées par des tiers. l’information n’est pas considérée dès
Les gens ne savent pas ce qui se passe à l’amorce d’un projet d’intégration. Selon
l’intérieur de leur réseau », souligne-t-il. Dave Martin, l’organisation doit changer
D’autre part, si le responsable des d’approche. Plaidoyer pour la sécurité de
technologies de l’information obtient « Vu ce que les organisations veu- l’information en interne
l’attention de la direction d’une orga- lent faire présentement implique plus Des comportements à l’intérieur d’une
nisation, le responsable de la sécurité d’agilité que jamais, la complexité de organisation qui touchent à la sécurité
de l’information n’a pas nécessaire- l’infrastructure de sécurité traditionnelle de l’information peuvent avoir d’im-
ment le même privilège. Parfois c’est le rend la chose difficile puisqu’elle obstrue portantes répercussions pour l’entre-
responsable des TI qui porte le cha- et exerce un contrôle autoritaire, affirme- prise, affirme l’avocate Katerine Poirier.
peau, ce qui peut entraîner des conflits t-il. Il faut une approche nouvelle où le
d’intérêts. Parfois, la responsabilité se défi est d’appliquer la sécurité de façon
trouve à deux ou trois niveaux sous efficiente et rapide sans tuer la souplesse Article complet :
le niveau du responsable des TI et de de l’organisation. Comment peut-on bit.ly/10PkLNM
la direction de l’organisation. Michel utiliser la technologie d’une façon sécuri-
Boutin explique que le responsable de taire dès le départ? »
Directioninformatique.com - Mars/Avril 2013 13