La maturité des entreprises reste insuffisante
 Dossier sponsorisé par Kaspersky Lab |
Mûres mais pas tant que ça. En fait, contrairement à ce que l’intuition pourrait suggérer, la sécurité du poste de travail n’est pas encore acquise. Notamment dans les structures de petite ou moyenne taille. Là, les solutions de protection complètes des éditeurs font leur office. Mais elles sont loin de tout faire et, surtout, ne remplacent pas l’approche organisationnelle de la sécurité. Un point de départ souvent négligé.
Il y a près d’un an et demi, le Clusif, le Club de la sécurité de l’information français, tirait la sonnette d’alarme : l’édition 2008 de son étude sur les menaces informatiques et les pratiques de sécurité des entreprises françaises faisait ressortir, « côté entreprises, un inquiétant sentiment de stagnation. »
| Documentation sponsor |
Patrick Prajs, Pdg de l'éditeur français SkyRecon, relève, de son côté, un lien très fort entre maturité des entreprises sur les questions de sécurité du poste de travail et impératifs réglementaires : « au Luxembourg, le niveau de maturité élevé est imposé par l’impératif légal de protection contre les fuites de données. En France, on en est très très loin. StormShield [outil de protection du poste de travail de Skyrecon, NDLR] est principalement utilisé comme Host IPS [prévention des intrusions, NDLR], mais très peu sur la problématique des fuites de données. » En fait, selon Patrick Prajs, la variable d’ajustement pourrait bien être la taille des entreprises : « il y a une vraie prise de conscience et une vraie montée en compétences dans les grands groupes. Le problème se situe surtout au niveau des PME. »
L’organisation, une clé parfois défaillante
Chez Trend Micro, Frédéric Guy, expert en sécurité, relève de son côté des problèmes organisationnels : « historiquement, les entreprises sont organisées avec, d’un côté, des équipes réseau et, de l’autre, des équipes poste de travail. Chacunes avec leurs propres compétences en matière de sécurité. » Une segmentation de la fonction sécurité qui ne facilite pas la mise en œuvre opérationnelle. David Kelleher, porte-parole de GFI Software, ne dira pas le contraire : « l’un des problèmes, pour les entreprises, c’est qu’elles se concentrent sur les aspects technologiques. Et que certaines s’y arrêtent. Alors que le maillon faible, c’est l’utilisateur final : en définitive, ce qui compte, c’est l’impact qu’auront ses actions, sur la sécurité du SI. »
Julien Steunou, manager au sein de l’activité intégration de la division NSS de BT Group, va plus loin : « avec les silos au sein des DSI, les projets transverses comme la mise en place du contrôle d’accès au réseau, génèrent parfois des guerres de services internes. »
Avec cette problématique, éternelle, que relève Frédéric Guy : « le but, c’est de protéger sans bloquer l’utilisateur. » Bref, que la sécurité ne soit pas un frein à la productivité de l’entreprise. Alors qu’elle est largement susceptible d’être perçue comme tel…
Le patch management, une étape oubliée
Pour Julien Steunou, de BT Group, le point faible de la gestion de la sécurité du poste de travail tient encore, pour beaucoup, à la gestion des correctifs : « ce sujet est très peu adressé par les petites entreprises ; protéger sans patcher, c’est un peu comme un emplâtre sur une jambe de bois… » Un constat partagé par Roel Schouwenberg, chercheur sénior en antivirus chez Kasperky Lab, qui regrette que « beaucoup d'entreprises négligent encore d'appliquer les correctifs à leurs applications. » Insistant au passage sur la vulnérabilité des navigateurs ou des applications tierces telles que leurs extensions - plug-ins - alors que « les systèmes d'exploitation sont eux de mieux en mieux conçus pour plus de sécurité. »
Jean-Marc Boursat, consultant sécurité chez Devoteam, partage ce regard sur le patch management : « la démarche de sécurité n’est effectivement complète qu’avec la gestion des correctifs. Les solutions en la matière se sont d’ailleurs fortement industrialisées. Mais une question demeure : comme garantir que le patch à appliquer reçu par l’utilisateur final est bien celui qui est télédistribué ? » Une interrogation qui pousse peut-être les administrateurs à hésiter dans l'application des correctifs proposés par les éditeurs, comme l'explique Jean-Philippe Bichard, porte-parole français de Kaspersky Lab. Du moins tant qu’ils n’ont pas été validés.
Pour Julien Steunou, la brique la plus déployée par les entreprises françaises – et avec le plus d’efficacité –, reste probablement le chiffrement – appliqué à l’intégralité du support de stockage et couplé à l’authentification au démarrage de la machine.
Téléchargez cet article au format PDF
