Vu le nombre sans cesse croissant des attaques informatiques, la vulnérabilité et l'importance des données d’entreprise dorénavant informatisées, le besoin de sécuriser toutes ces informations devient capital et un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui les entourent. La sécurité des systèmes d’information (SSI), ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information. Mais de plus en plus, cela n'est plus confiné uniquement au rôle de l’informaticien et devrait impliquer tous les acteurs de l'entreprise. Malheureusement, la plupart des entreprises ignorent les bogues de sécurité parce qu'elles n'ont pas le temps de les corriger. Selon une étude d'Outpost24, sur 155 personnes interrogées, 26 % manquent de temps et 16 % ignorent les problèmes. Or, de 2013 à 2015, 16 % de toutes les vulnérabilités se trouvaient dans les applications et 53 millions d'événements de sécurité ont été détectés sur les réseaux en 2015. 63% des violations de données confirmées en 2016 concernaient des mots de passe faibles, par défaut ou volés. Et les appareils de plus en plus mobiles dans les entreprises augmentent fortement les vulnérabilités. Certains domaines d’activité sont plus susceptibles d'attaques que d'autres. En 2016, 89 % des infractions avaient un motif financier ou d'espionnage.
Tenant compte de toutes ces menaces d'attaques qui pèsent sur les entreprises, la plupart des fournisseurs de logiciels proposent régulièrement des correctifs de sécurité. Mais on remarque que c'est seulement 47 % qui appliquent les correctifs immédiatement, 16 % les appliquent tous les mois, 7 % tous les trimestres et 5 % seulement deux fois par an. Et là encore, dans un courriel à Infosecurity, le consultant en sécurité Ben Tomhave a déclaré que ceux qui disent qu'ils corrigent immédiatement font économie de vérité, car selon lui, si c'était vrai, cela voudra dire que leurs environnements de travail n'auraient pas été faits de ressources trop sensibles à la disponibilité ou à l'intégration logicielle. À titre d'exemple, il a souligné le fait qu'Oracle fait toujours des correctifs trimestriels et ceux qui disposent d'applications sous Oracle ne sauraient faire mieux.
On a également demandé aux répondants à cette enquête réalisée par Outpost24 si des tests de sécurité étaient effectués sur les systèmes de leur entreprise, ce qui a révélé que 7 % d'entre eux n'effectuaient aucun test de sécurité. Cependant, 79 % ont déclaré qu'ils effectuent des tests et 68 % utilisent les services de tests de pénétration. Bob Egner, vice-président d'Outpost24, a déclaré que « pour maximiser la valeur de l'investissement de test, les mesures correctives doivent être prises aussitôt que possible après le test. La prolifération des technologies connectées, le manque de connaissances et de ressources restent des défis majeurs. Le personnel de sécurité peut facilement devenir débordé et ne plus se concentrer sur l'assainissement qui peut avoir le plus d'impact sur l'entreprise ».
Tomhave fait une suggestion de solution pour réduire les risques de sécurité : le DevOps ; plus précisément, le changement de comportement qui facilite l'intégration continue et les pipelines de développement et d'automatisation lourde. Le DevOps est un mouvement en ingénierie informatique et une pratique technique visant à l'unification du développement logiciel (dev) et de l'administration des infrastructures informatiques (ops), notamment l'administration système. En tant que telle, l'automatisation fait partie de la réponse, mais encore une fois, elle s'applique aux serveurs. Pour les points de terminaison utilisateur, les appareils mobiles et l'IoT, il est presque certain que tout devrait être automatisé et poussé dès que possible (à condition qu'il y ait une option d'annulation).
Marten Mickos, PDG de HackerOne, a déclaré que : « Nous constatons à maintes reprises l'impact des vulnérabilités connues qui ne sont pas corrigées par des cas exceptionnels comme la violation d'Equifax, et 58 % des professionnels de l'informatique n'ignorent pas ces problèmes de sécurité critiques. La création d'un exploit pour une vulnérabilité connue peut prendre jusqu'à 22 jours. Nous devons donc faciliter la tâche des organisations afin de hiérarchiser les correctifs pour protéger leurs clients ».
Sources : outpost24, Infosecurity
Et vous ?
Comment assurez-vous la sécurité de vos données dans votre entreprise ? À quelle fréquence appliquez-vous les correctifs de sécurité informatique ?Voir aussi
Les meilleurs cours et tutoriels pour apprendre la sécurité informatique Le facteur humain est la plus grande menace pour la sécurité informatique des entreprises, les cadres supérieurs logés aux premiers rangs
