Actualités
Sécurité
18/12/2014

Sécurité : Les 5 enjeux qui vont conditionner les projets de sécurité informatique en 2015

2014 a été une année où les attaques se sont succédées et enchainées dans un cercle sans fin. Il est clair qu’en 2015 la taille et la complexité des cybers attaques vont s’accroitre.

Cette vision est celle de Steve Durbin, Directeur Général du Forum de la Sécurité de l’Information. Voici les 5 tendances majeures qu’il anticipe pour 2015.

 

1.       La Cybercriminalité

Internet est un terrain de jeu hyper attractif pour les criminels de tous bords, motivés par l’argent, la notoriété, le terrorisme, cherchant à déstabiliser des organisations, des sociétés et même des pays. Ces cybercriminels opèrent depuis l’Est de l’Europe pour nombre d’entre eux, mais certains pays d’Asie jouent un rôle obscur dans ces menaces et ces attaques.

Leur niveau de compétences s’est considérablement accru ces dernières années, jusqu’à dépasser celles de pays bien pourvus en ingénieurs IT et qui se croyaient à l’abri. Cette évolution doit pousser les organisations, après la prise de conscience, à se doter de spécialistes en sécurité IT / IS et à mettre en œuvre des politiques dynamiques de gestion des risques.

 

2.       La vie privée et sa protection

La plupart des gouvernements ont légiféré pour tenter de protéger les individus contre le vol de leurs données, informations, identités ou argent.

Mais à l’échelle mondiale, cette profusion de règles va vite devenir ingérable. Comment organiser la collecte des données, comment les stocker et les sauvegarder, comment garantir le bon usage des données et informations ? Toutes ces questions se posent dans les pays, les entreprises, les administrations, et chez les fournisseurs de solutions Cloud. Elles touchent tout le monde et tous les services des entreprises ; chacun doit comprendre les enjeux veiller au respect des règles et procédures, et ce, depuis la base, en passant par les services juridiques, RH, IT, jusqu’à la Direction générale.

Les entreprises doivent prendre en considération ces évolutions réglementaires et se mettre en conformité. Cette pression est d’autant plus forte que les entreprises doivent faire des efforts de plus en plus importants pour protéger leurs clients (transactions commerciales ou bancaires, piratages de données, ...).

 

3.       Les menaces provenant des fournisseurs

Dans un monde globalisé et interconnecté, les chaines de logistiques et d’approvisionnement forment la colonne vertébrale de l’économie et, en même temps, démultiplient les opportunités d’attaques. Des informations sensibles sont accessibles partout : il n’est plus possible de tout contrôler et de filtrer qui y aura accès ou non. La confidentialité devient de plus en plus délicate à gérer.

La pression s’accroit sur les fournisseurs (Cloud, SaaS, ..., avocats, comptables, ...) pour qu’ils garantissent la non divulgation des données des clients.

Les spécialistes de la sécurité informatique doivent travailler étroitement avec les juristes et les gestionnaires de contrats, lors des phases de vérifications préalables aux opérations, afin de limiter les risques au maximum.

Le risque zéro n’existant pas, chaque organisation doit concevoir en parallèle un Plan de Continuité de l’Activité afin de poursuivre son activité en cas d’attaque majeure ou de défaillance partielle ou totale d’un ou de plusieurs fournisseurs.

 

4.       La tendance du « Bring Your Own ...»

Même si les entreprises préféreraient ne pas avoir à gérer cette problématique, il est clair que cette évolution des usages va perdurer. L’utilisation de smartphones, de tablettes, de montres connectées, de disques durs externes, ainsi que le recours au stockage en ligne sur des plate-formes Cloud accroissent les risques de diffusion de malwares ou de vols d’informations confidentielles à un point que les entreprises n’ont jamais connu. Une société qui autorise le BYOD doit avoir mis en place un plan de surveillance et d’alerte. Une société qui n’autorise pas le BYOD devra aussi mettre en place un plan, car il y aura toujours des personnes pour contourner les interdits. Les risques de voir des contrats, des bases de données clients, des brevets, des propositions, des plans de financements, ..., être copiés et détournés sont chaque jour plus importants. Ne rien faire équivaut à laisser un coffre fort ouvert avec la mention « servez-vous » inscrite dessus.

 

5.       Former les collaborateurs

Le principal maillon faible dans toute organisation reste l’humain. Depuis des décennies, les entreprises essaient de faire prendre conscience à leurs collaborateurs qu’il y a des risques et qu’il est de leur responsabilité d’utiliser les outils informatiques conformément aux règles en vigueur.

Ceci ne fonctionne pas. La sécurité doit être entrevue plus largement, et ce, en passant par la gestion des risques. Les leaders de la sécurité ne doivent plus être uniquement les informaticiens, mais les services business. Les grandes entreprises ont pour la plupart compris qu’elles devaient traiter la sécurité de manière globale et pas uniquement sous l’angle technique informatique. Les RSSI sont de plus en plus rattachés aux Directions des Risques et de la Conformité ou à la Direction Générale.

 

Logiquement, 2015 ne sera pas moins difficiles à vivre que 2014 sur le plan de la sécurité IT. La prise de conscience s’étend dans les organisations, même si cela prend parfois trop de temps. La sécurité est encore vue par certains comme un centre de coût uniquement et ils ne voient pas pourquoi investir en ressources et en moyens dans ce domaine.

D’autres ont compris après avoir subi une attaque qu’il n’était plus possible d’ignorer ou de minorer cette menace planétaire.

Il ne s’agit pas d’être catastrophiste, mais d’anticiper et de se maintenir en condition pour faire éviter de perdre des données, des informations sensibles, de l’argent, des clients, sa réputation ...

La résilience ça se travaille.

 

>D’après une idée Thor Olavsrud


 

 

News associées :