HPE : « Lorsque cela devient personnel, les RSSI tendent à réagir plus »

HPE a récemment publié son rapport 2015 sur les risques informatiques. Et, sans surprise, il n’a rien de réjouissant. Pour le groupe, il apparaît ainsi que l’industrie « n’a rien appris », l’an passé, en matière d’application de correctifs. De fait, selon lui, la vulnérabilité la plus exploitée – qui l’était déjà en 2014 – est âgée de plus de 5 ans et « a été corrigée par l’éditeur… deux fois ». Qu’est-ce à dire de la maturité des entreprises ?

Andrzej Kawalec, directeur technique Enterprise Security Services chez HPE, n’est pas tendre. Pour lui, en prenant en compte des indicateurs comme les opérations de sécurité ou encore la communication sur la posture de sécurité, 86 % des organisations n’ont pas un niveau de maturité acceptable. Et puis, « les délais de réponse deviennent de plus en plus longs, en partie parce que les attaques sont plus sophistiquées et plus rapides – même si l’accélération se réduit ».

Avec un délai de détection de l’ordre de 205 jours en moyenne, « il y a encore beaucoup à faire pour arriver là où l’on devrait être, même si l’écart se réduit ». Ainsi, selon Kawalec, « les organisations s’améliorent. Elles ont compris l’importance de la détection et de la réaction aux brèches ».

Toutefois, selon HPE, « 35 % des applications ont au moins une vulnérabilité significative ». Et pour les applications mobiles, c’est pire : « 75 % ont au moins une vulnérabilité significative ». Windows et Android apparaissent comme les plateformes les plus visées. Pour Kawalec, « sécuriser à 100 % les applications n’est pas objectif réaliste. Mais il y a un problème dans le cycle de vie du logiciel, dans le cycle d’application des correctifs ». Pour lui, le principal défie concerne là les applications mobiles à usage unique, développées en s’appuyant sur des composants Open Source réutilisables, disponibles sur étagère.

La bonne nouvelle, c’est que « des vulnérabilités majeures comme Heartbleed poussent à réfléchir à la manière d’utiliser l’Open Source dans son environnement de développement et de gérer la sécurité en continu ». Pas de miracle, toutefois, à attendre : pour Kawalec, il faudra bien encore un an ou deux avant que pratiques évoluent vraiment.

En attendant, les technologies de défense évoluent pour aider à lutter contre ces risques. Ainsi, le directeur technique Enterprise Security Services chez HPE appréhende l’analyse comportementale, le Machine Learning ou encore l’automatisation comme « des façons d’avancer » - alors même que manquent largement les compétences -, au même titre que l’intégration profonde de la sécurité dans le matériel. Et rappeler les efforts du groupe avec ArcSight, ouvert l’analyse comportementale l’an passé avec les outils de Securonix.  

Reste des mentalités à faire évoluer. « Je pense que beaucoup pensent encore que l’on peut ajouter une brique de sécurité et être en sécurité. Cela pourrait toutefois changer cette année avec l’évolution de l’environnement réglementaire. Et l’on voit des RSSI perdre leur emploi à l’issue de brèches de sécurité. Lorsque cela devient personnel, on tend plus à réagir ».