Le secteur informatique est-il en proie à des alarmistes ?

Prise de décision fondée sur la peur

Tout cela s’est combiné pour engendrer une atmosphère de peur au sein du secteur informatique. Les budgets informatiques limités signifient que la menace posée par les acteurs malveillants n’est plus canalisée vers des préparations proactives, mais vers des réponses réactives. « L’industrie informatique réagit à beaucoup de bruit mal informé », explique Alex McDonald, président EMEA de la Storage Networking Industry Association (SNIA). « Ce que nous essayons de faire, c’est de donner un sens à ce que les gens veulent : ils veulent une sécurité gratuite et infiniment flexible. »

L’accent mis sur les réponses réactives a été aggravé par la course aux armements technologiques entre les équipes de sécurité et les pirates. Les pirates lancent une nouvelle forme d’attaque, contre laquelle les équipes de cybersécurité développent une nouvelle défense, provoquant ainsi l’adaptation des pirates. En conséquence, il existe de nombreuses nouvelles technologies sur le marché, que les organisations peuvent se sentir obligées d’acquérir pour des scénarios « au cas où ».

Les utilisateurs finaux risquent donc d’être submergés par le nombre et la variété des produits de sécurité disponibles. Cela a tout autant à voir avec la commercialisation d’un produit, qui est menée par des fournisseurs en concurrence avec leurs rivaux du marché dans une industrie saturée, qu’avec la gamme de produits disponibles. Par conséquent, pour que les fournisseurs se démarquent dans un tel environnement, ils sont tentés de trop mettre l’accent sur leurs produits.

Il est donc nécessaire que les utilisateurs finaux adoptent une approche pragmatique de leurs stratégies d’achat, en tenant compte de leur profil de menace et de leurs vulnérabilités potentielles. « Il s’agit de gérer un équilibre entre le risque et la récompense, autour des actifs qui sont importants pour une organisation », explique Paul Watts, analyste distingué au Sein de l’Information Security Forum (ISF).

Les réseaux d’entreprise sont maintenant beaucoup plus compliqués qu’ils ne l’étaient autrefois. Ceci, à son tour, a rendu leur sécurisation plus difficile, en particulier compte tenu de leur portée accrue et de l’accessibilité accrue des données. « Vous avez vos serveurs Web, vos serveurs de données, et ces choses interagissent », explique King de Scality. « Il n’y a pas un seul système qui peut simplement rouler jusqu’aux sauvegardes d’hier matin. »

Préparez-vous, plutôt que de réagir

Avant d’effectuer des achats, il est nécessaire d’acquérir une compréhension complète des réseaux qui seront pris en charge et du flux de données qui les traverse tous. Cette analyse permettra de sélectionner plus facilement les technologies de sécurité appropriées pour répondre aux exigences de sécurité pertinentes.

Une telle analyse devrait inclure la croissance projetée du réseau d’une organisation, car s’enfermer dans un service de sécurité qui ne permet pas la croissance pourrait rapidement devenir un facteur restrictif ou limitatif.

Ces informations peuvent faire partie d’un plan d’achat, permettant aux organisations d’estimer avec précision leurs achats anticipés. Cela renforce également une notion importante selon laquelle la sécurité n’est plus un problème informatique.t une entreprise. Par conséquent, cela donne une plus grande flexibilité au budget informatique, permettant une meilleure planification stratégique et à long terme.

Un autre effet secondaire de l’alarmisme est qu’une grande partie de l’accent est mis sur la peur d’être piraté. Par conséquent, alors que beaucoup cherchent à identifier et à bloquer tout acteur malveillant potentiel, il y a tendance à ne pas prendre en compte les ramifications potentielles d’être piraté.

À bien des égards, il est presque acquis que les organisations seront piratées; et plus ils sont gros, plus la cible qu’ils deviennent est grande. La détection et le blocage du piratage sont importants, mais il faut également se préparer à ce qui se passe en cas d’attaque et à la manière dont les données et les fonctionnalités réseau perdues peuvent être restaurées dans la phase de récupération suivante.

« Tout le monde peut faire des sauvegardes, mais quelqu’un peut-il faire la restauration ? » dit King. « Tout est une question de rétablissement. »

L’expérience, pas seulement l’éducation

Un plan de gestion des catastrophes robuste, formulé avec l’expertise et testé pour les problèmes imprévus, sera inestimable pour permettre une récupération rapide des données. La mise en place des scénarios de récupération appropriés permet aux organisations de se préparer à l’avance aux réponses nécessaires qu’elles doivent apporter dès qu’une attaque se produit. Les bonnes pratiques peuvent être renforcées en menant des scénarios de catastrophe simulés, par exemple pour une violation de données ou une attaque par déni de service distribué (DDoS), permettant ainsi aux équipes informatiques d’acquérir une expérience pratique d’une attaque réseau et de réagir dans les pires scénarios.

Cependant, la préparation d’un document de stratégie de sécurité approprié nécessite un ou plusieurs auteurs ayant la formation et l’expérience appropriées. « Je recherche des connaissances, de l’expérience et de la réputation », explique Watts de l’ISF. « Il y a beaucoup de gens sur le marché qui ont leurs références. Vous pouvez avaler le manuel, mais l’application de ces connaissances dans un environnement d’affaires est ce qui vous vaut vos galons.

Une aide supplémentaire sera bientôt disponible, sous la forme d’un organisme de normalisation, d’accréditation et de réglementation de l’industrie. Le Conseil britannique de la cybersécurité a été formé récemment, faisant initialement partie du Département du numérique, de la culture, des médias et du sport (DCMS), avant de devenir un organisme gouvernemental indépendant. Il vise à développer et à promouvoir des normes de cybersécurité reconnues au niveau national à l’appui de la stratégie nationale de cybersécurité du gouvernement britannique. Pour 2021, sa vision déclarée était que « le Royaume-Uni est sécurisé et résilient aux cybermenaces, prospère et confiant dans le monde numérique ».

Une partie du mandat du Conseil britannique de la cybersécurité consistera à réunir une série d’organismes professionnels pour former un cadre d’accréditations de cybersécurité reconnues. Cela permettra aux employeurs d’identifier plus facilement ceux qui ont l’expérience et la formation nécessaires pour élaborer un ensemble d’approvisionnement en matière de sécurité pour leurs réseaux.

Cependant, le Conseil britannique de la cybersécurité sera un organisme de réglementation unique et certains préféreraient un arrangement différent. « Je préférerais plusieurs organismes représentant l’industrie plutôt qu’un seul », dit McDonald de la SNIA. « Plus il y a de points de vue différents et de personnes qui y sont impliquées, plus cela devient transparent. »

Diriger avec connaissance, plutôt que de réagir avec peur

Avec la couverture médiatique continue des violations de données récurrentes, on peut comprendre pourquoi il y a un élément de peur, qui peut affecter les utilisateurs finaux. Par conséquent, investir dans des technologies et des services de cybersécurité sans tenir d’abord compte de la nécessité des achats peut entraîner une budgétisation inefficace. Il existe également le risque potentiel d’être enfermé dans un service restrictif qui pourrait exposer les aspects vulnérables d’un réseau à une attaque.

Avoir une compréhension approfondie de l’architecture réseau actuelle et attendue, ainsi que des vecteurs de menace potentiels auxquels elle est confrontée, permet une approche plus consciente des acquisitions de sécurité, offrant ainsi une posture de cybersécurité plus efficace.

Il est regrettable qu’il ne s’agisse pas tant d’un cas de si vous serez attaqué, mais quand. Se concentrer uniquement sur la prévention peut laisser des vulnérabilités et entraîner des temps d’arrêt excessifs et des pertes de données. Un changement de méthodologie vers une approche plus holistique, en tenant compte de la récupération des données en particulier, améliorera la résilience et atténuera les niveaux dommageables de temps d’arrêt à la suite d’une attaque.

Il y a beaucoup à craindre lorsque l’on considère la menace d’une cyberattaque, mais une approche holistique de la sécurité tenant compte des risques permettra une position de sécurité robuste.