Trend Micro : il faut sécuriser l’IT au niveau de la donnée

«BOYD pour Bring Your Own Disaster !» Raimund Genes, le Global CTO de Trend Micro, l'un des acteurs majeurs de la sécurité, n’a pas souhaité cacher l’impact de la consumérisation du IT sur les infrastructures informatiques des entreprises, ce matin, à l’occasion de l'étape française de la conférence Trend Micro Directions. Selon lui, ce phénomène, qui rappelons-le consiste à consommer des outils informatiques (terminaux ou applications) personnels dans un cadre professionnel, est bien la principale bête noire des entreprises, lorsqu’on aborde le problème de la sécurité IT. Un danger tel qu’il préférerait quasiment un retour en arrière, à une époque où la sécurité IT était moins complexe, a-t-il également ironisé devant un auditoire de spécialistes de la sécurité, tous visiblement très au fait du problème.

Pour le CTO, les attaques opérées sur les terminaux mobiles sont devenues réelles depuis 2011, une année qui marque une étape clé dans l’évolution des cybermenaces. Souhaitant mettre en avant un contexte sécuritaire changeant, il a également évoqué tour à tour le crime organisé, mais également - surtout - les attaques ciblées ou ATP (Advanced Persistent Threats), qui constituent selon lui, l'agression sur laquelle les entreprises devraient davantage travailler. «C’est ce qui devrait vous effrayer car les attaquants n’ont pas besoin de faille zero-day», explique-t-il. Et de se lancer dans un descriptif  de ce type d’attaque «toujours plus sophistiquée», qui manipule les mécaniques de l’ingénierie sociale. «Pourquoi utiliser des armes sophistiquées alors que l’on peut aller sur LinkedIn [identifier un profil clé, potentiel vecteur d’attaque, NDLR] et envoyé un mail ciblé», lance-t-il alors, évoquant des scénarii qu’il qualifie lui-même d’effrayants. Sans parler des spear phishing, du hacking, du waterholing et nombre d’options d’attaque aujourd’hui utilisées par les cybercriminels. Bref, un contexte pluriel et changeant qui complique la tâche des entreprises dans leur processus de sécurisation du IT.

Sécurité et conformité du cloud : de moins en moins pris en compte

Selon Laura Koetzle, vice président au sein du cabinet d’analystes Gartner, également présente lors de l’événement, il s'agit donc d'un nouveau contexte sécuritaire avec lequel les entreprises doivent apprendre à composer. Selon elle, la consumérisation du IT, tout comme les services cloud, tendent à flouter la possession des données, en réduire le contrôle et, donc à augmenter l’exposition au risque. Ainsi, par exemple, l’utilisation de services cloud et d’outils de synchronisation entre terminaux rend de plus en plus difficile le fait de récupérer les données alors qu’un employé est sur le départ. Pour 52 % des entreprises sondées par Forrester, cette tache - pourtant clé pour optimiser la continuité de l'activité - est même «très difficile». Autre exemple, alors que 81% des personnes interrogées ne savent pas quelles données sont présentes dans leur mobile pro (84% dans le cloud), seulement 22% ne désactivent pas les fonctions de sécurité de leur terminal. 36% avouent le faire parfois. Et ce, alors même que l’usage du mobile en environnement professionnel va grandissant.

Même constat dans le cloud, explique-t-elle : alors que les entreprises y placent de plus en plus d’applications et de données business critiques, et que les développeurs d’applications mobiles y déplacent - parfois à l’insu de leurs utilisateurs - des informations dans le cloud, les entreprises commencent à baisser leur garde, car elles sont de plus en plus en prise avec le concept en nuage, raconte-t-elle. La sécurité et la conformité sont d’ailleurs des problématiques de moins en moins prise en compte dans le cloud. De 69% en 2010, seulement 51% des entreprises considèrent le nuage sous un angle sécuritaire et de la conformité.

Dans ce contexte, comment garder le contrôle sur la donnée, quand on connait la vaste surface d'exposition - «partons du postulat que la donnée est déjà prise pour cible», lance en substance, Raimund Genes -  et garantir un niveau de sécurité adéquate aux infrastructures IT des entreprises ? Le Global CTO de Trend Micro prône de fait une approche de la sécurité intérieure qu’il qualifie «d’Inside-out», qui consiste ainsi à sécuriser directement au niveau de la donnée. par contraste avec l’approche «Outside-in», qui consiste à tenir éloigner la menace le plus loin de la donnée. une méthode qui  « ne protège pas des attaques ciblés», souligne-t-il. De son côté, Laura Koetzle insiste bien sûr sur la nécessité de simplifier la classification des données, des plus critiques ou moins sensibles et d’y appliquer ainsi les politiques adéquates. Mais rappelle-t-elle, les employés restent le point le faible d’une infrastructure, 76% de toutes les attaques exploitant des crédences volées d’employés. Elle et Raimund Genes s’accordent sur un point : la sécurité est aussi et surtout une question d’éducation. Surtout dans un contexte de consumérisation du IT.