Les enjeux liés à la sécurité informatique sont indéniables, mais bon nombre d’utilisateurs n’appliquent pas encore des comportements optimaux. Passe-t-on de l’état de réaction à celui de proaction? Quatre spécialistes donnent leur avis.
Plusieurs événements ayant trait à la sécurité des technologies de l’information ont eu lieu coup sur coup à Montréal récemment, démontrant sans nul doute l’intérêt des fournisseurs pour ce créneau d’activités. Ces événements ont permis d’interroger des professionnels à propos de leur perception de l’état d’esprit des utilisateurs des TIC en matière de sécurité, notamment pour savoir s’ils sont encore en mode réactif ou s’ils adoptent plutôt un comportement proactif. À en juger les observations, la sécurité informatique est un enjeu d’importance qui nécessite des efforts collectifs.
Informatique mobile : mécanismes présents, mécanismes activés?
L’adoption du bloc-notes par les entreprises ne cesse de progresser, tout comme les enjeux reliés à la sécurité des actifs et des données informatiques qui y sont associés.
De passage à Montréal lors d’une tournée commerciale, Darren Leroux, le directeur des produits d’informatique mobile chez HP Canada, a énuméré les fonctions de sécurité incluses dans les blocs-notes commerciaux : lecteurs d’empreintes et de cartes à puce, mot de passe pour le BIOS, chiffrement du disque rigide, effacement des contenus en huit passages, désactivation des ports de sortie, etc. Une fonction embarquée, fournie par Computrace, peut être activée par abonnement afin de retrouver un appareil volé ou perdu.
Or, bien des organisations ne procèdent pas à l’activation des mécanismes de sécurité parce que les employés les perçoivent comme étant des irritants à l’utilisation des systèmes informatiques. M. Leroux concède qu’il revient aux entreprises d’activer les mécanismes offerts.
« Nous ne les activons pas au départ, parce qu’il revient à eux de le faire en fonction des politiques établies en matière de sécurité. Et s’ils n’en ont pas, nous les encourageons fortement à y porter attention. Également, nous comptons fortement sur nos partenaires qui conseillent ces clients à propos des éléments de sécurité offerts dans les produits qu’ils peuvent acquérir. »
« Dans les grandes entreprises, qui ont des environnements TI gérés et des standards corporatifs, la situation est différente. Nous leur fournissons des systèmes configurés en usine en fonction de leurs politiques afin d’assurer qu’ils ont des systèmes informatiques aussi sécuritaires que possible. »
M. Leroux estime que les choses seraient plus faciles s’il existait une recette pour rendre les organisations proactives en matière de sécurité.
« Beaucoup d’organisations sont encore en mode de réaction, mais beaucoup plus d’entreprises, des petites comme des grandes, portent davantage d’attention envers la proaction. Des règlements gouvernementaux émergents exigent le chiffrement des contenus des disques rigides des blocs-notes, notamment dans le secteur hospitalier. Dans le milieu de l’éducation, le traçage des produits permet à une école privée de retrouver un bloc-notes apporté à l’extérieur qui a été subtilisé », explique-t-il.
La sécurité informatique, un risque d’affaires?
Kevin Beaver est un consultant indépendant qui œuvre en sécurité des TIC depuis près de vingt ans. Il souligne que le comportement communément démontré face aux technologies de l’information est « la technologie dès maintenant, la sécurité pour plus tard. »
« Le problème est que la plupart des gestionnaires n’apportent pas autant de valeur aux actifs commerciaux qu’ils le devraient. Ils ignorent ce qu’ils ont à perdre », constate M. Beaver.
Alors que des réglementations émergent des gouvernements, des fournisseurs d’affaires et les organismes industriels, M. Beaver concède que ces obligations contribuent à capter l’attention des gestionnaires qui ne veulent pas être tenus responsables, payer des amendes ou aller en prison.
« La conformité contribuera au changement “d’état d’esprit” dans les cinq à dix prochaines années, mais c’est dommage qu’il faille que cela passe par des lois de conformité. La sécurité informatique devrait être perçue comme étant la gestion de risques d’affaires, mais les gens ne perçoivent pas encore les technologies de l’information assez sérieusement pour les inclure dans cette équation. »
« …Mais s’il faut [compter sur la médiatisation] des brèches de sécurité et les amendes liées au non-respect de la conformité pour attirer l’attention, alors, ainsi soit-il! », commente-t-il.
Après le contenant, le contenu
Bon nombre d’efforts ont été réalisés au cours des dernières années pour la protection des systèmes informatiques et des accès en réseau contre les attaques externes. Mais la sécurité informatique inclut également la protection des données, alors que les incidents de perte ou d’égarement de données défraient de plus en plus la manchette.
Jean-Pascal Hébert est directeur de comptes auprès des entreprises chez McAfee au Canada. Il était de passage à Montréal pour promouvoir une solution de prévention de la perte de l’information qui restreint l’envoi, la copie ou l’impression de documents en fonction de règles définies.
« Les gens ont accès à l’information de façon contrôlée, mais il n’y a pas de méthode de contrôle sur la façon dont une personne gère cette information, constate M. Hébert. Dans la grande entreprise et dans les entreprises de certains domaines, l’information est cataloguée de façon supérieure et l’on sait exactement quoi est où. Mais souvent en PME, il n’y a pas de culture organisationnelle de gestion de l’information, et l’information réside souvent dans le dossier « Mes documents ».
M. Hébert identifie trois types de philosophies en entreprise en matière de sécurité. « Il y a [des entreprises] qui sont d’avant-garde et qui veulent mettre en place de façon proactive des produits et des règles pour empêcher que se déroulent des événements qu’elles ont vus ailleurs. Elles se disent qu’il ne faut pas que ça leur arrive. Ensuite, il y a celles qui n’ont pas le choix, qui doivent se conformer à Sarbanes-Oxley et procéder à la gestion de l’information et à la gestion du contenu. Et troisièmement, il y a celles qui vont attendre d’avoir mal pour mettre un pansement sur le bobo. »
M. Hébert affirme que l’approche proposée permet de mieux contrôler l’utilisation des données et de prévenir les pertes, mais il ajoute qu’une telle solution peut servir à sensibiliser les gens au respect des politiques d’entreprise.
« On peut, en premier lieu, faire l’audit de ce qui se passe sur les systèmes, et ensuite renforcer les politiques de sécurité et discuter des enjeux avec les unités d’affaires et les utilisateurs de l’information », suggère-t-il.
Le particulier, un maillon faible?
Dean Parker, est le rédacteur en chef du Symantec Internet Security Threat Report, un document semestriel qui fait état des risques associés à la sécurité sur l’Internet.
Les constats du rapport ont de quoi étourdir : augmentation des variantes de virus, progression des menaces polymorphes, croissance du nombre de vulnérabilités, consolidation de l’économie souterraine, etc. L’objectif primordial des cybercriminels? Procéder à la fraude à des fins monétaires.
Bien que les avertissements à propos des dangers se multiplient, les cas d’infections et d’intrusions ne cessent de progresser. « En tant qu’utilisateurs, nous avons tendance à désactiver des fonctionnalités de sécurité, car nous voulons être connectés rapidement et à un maximum de gens. Parfois, dans l’empressement, la sécurité n’est pas la priorité ou une arrière-pensée, et les attaquants le savent et en prennent avantage », constate M. Parker.
M. Parker affirme que les entreprises sont devenues très bonnes à protéger leur périmètre, mais il affirme que les utilisateurs à la maison constituent maintenant la cible de choix des braqueurs informatiques.
« Les entreprises ont été éduquées et ont compris le message que les brèches de sécurité sont dangereuses pour leurs affaires. Elles ont mis en place des solutions et des règles de sécurité qui rendent la vie difficile aux pirates. Mais ces derniers vont toujours rechercher les fruits à portée de main et se concentrent sur les personnes à la maison qui n’ont pas les mêmes niveaux de sécurité qu’en entreprise… Et dans un contexte de travail nomade, ils peuvent viser les utilisateurs à domicile et obtenir l’information qu’ils souhaitent soutirer des organisations », indique M. Parker.
Même si les utilisateurs à la maison et les petites entreprises sont de plus en plus éduqués aux façons qu’utilisent les pirates pour entrer dans leurs systèmes et obtenir leur information, M. Parker constate que la transition de la réaction à la proaction est plus lente chez les utilisateurs à domicile et plus rapide dans les organisations.
« Le problème est que les braqueurs s’adaptent et créent des menaces plus rapidement que les utilisateurs à la maison peuvent être proactifs. Il faudrait que les gens à domicile puissent savoir à l’avance que les pirates sont à développer une attaque de jour zéro pour exploiter une vulnérabilité. »
M. Parker considère que le changement d’état d’esprit à propos de la sécurité informatique nécessite un effort collaboratif.
« Il faut porter attention aux menaces externes, établir des politiques et des procédures appropriées de sécurité et gouverner les types d’activités qui ont lieu sur le Web. L’industrie et les fournisseurs y ont répondu par le développement de solutions proactives et prédictives. Les gouvernements ont un rôle à jouer pour la sensibilisation des personnes et le renforcement de la législation…Cela nécessite une combinaison d’efforts, et c’est la seule façon de pouvoir garder les devants. »
