> Sécurité > Les prévisions sécurité pour 2018 : automatisation, conseil d’administration et GDPR

Les prévisions sécurité pour 2018 : automatisation, conseil d’administration et GDPR

Sécurité - Par iTPro.fr - Publié le 02 janvier 2018
email

En 2017, les failles et les menaces de sécurité ont établi de nouveaux records en matière d’attaque des données personnelles. De WannaCry à Petya, la liste des fuites sophistiquées et de grande envergure s’est allongée presque quotidiennement. Cette année, les fuites ont touché plusieurs centaines de millions de personnes à travers le monde.

Les prévisions sécurité pour 2018 : automatisation, conseil d’administration et GDPR

La mission des responsables de la sécurité, à savoir protéger, détecter et réagir, est restée la même à tous les niveaux, des réseaux informatiques au stockage de données, des systèmes de paiement aux périphériques connectés à l’Internet des objets (IoT).

Depuis dix ans, une formidable vague d’innovations technologiques nous a permis de mieux nous protéger en détectant les menaces avec une plus grande efficacité. Pourtant, le domaine le plus négligé de la sécurité demeure celui que nous pouvons encore maîtriser : notre capacité de réaction.

Il ne fait aucun doute que la rapidité et la complexité des attaques ne faibliront pas en 2018. La question est de savoir si les services responsables seront en mesure d’améliorer leur réactivité pour faire face à la sophistication et au volume sans cesse croissants de ces défis. Matthieu de Montvallon, directeur technique chez ServiceNow France nous livre ses réflexions.

 

Prédiction 1 : les exemples à suivre ou ne pas suivre en termes de sécurité

Les équipes de sécurité doivent déterminer rapidement si un incident mérite une intervention. De nombreuses entreprises utilisent des dizaines d’outils de sécurité qui créent et transmettent de grandes quantités d’informations sur le bureau du responsable. Les analystes utilisent des feuilles de calcul et leur messagerie électronique pour gérer la réaction à ces alertes, et leur simple volume oblige les analystes à consacrer trop de temps à analyser ces incidents.

En 2018, nous allons assister à l’apparition de bonnes et mauvaises pratiques sur le plan de la sécurité. En d’autres termes, seules certaines entreprises vont commencer à automatiser la partie « analyse » de la réaction aux incidents de sécurité. En somme, les entreprises qui se doteront des outils et de la culture nécessaires pour adopter cette automatisation et qui mettront réellement la technologie au service de leur activité obtiendront de meilleurs résultats.

Les entreprises ayant adopté les bonnes pratiques devront rendre compte des opérations de sécurité dans le cadre de leurs activités quotidiennes. Elles pourront s’appuyer sur des processus évolutifs et disposeront d’outils permettant de mesurer les progrès accomplis. L’automatisation les aidera à déterminer quels systèmes doivent être mis à jour et à quel moment. Pour réagir aux attaques d’hameçonnage (phishing), quelques minutes suffiront au lieu de quelques jours, représentant un progrès jamais vu !

Pour ces entreprises, l’avantage est le suivant : les responsables de la sécurité seront libérés des fastidieuses tâches manuelles, et auront davantage de temps à leur disposition pour se concentrer sur les projets stratégiques de l’entreprise. Cette nouvelle approche dépasse le cadre de la sécurité. L’automatisation est tellement efficace qu’elle suscite un véritable engouement dans pratiquement tous les secteurs d’activité.

Téléchargez gratuitement cette ressource

Comment contrer les menaces sophistiquées ?

Comment contrer les menaces sophistiquées ?

Votre réseau d'entreprise fait face à de profondes mutations en matière IT, à des comportements utilisateur à risque et à des menaces toujours plus sophistiquées (ransomware, vulnérabilités zero-day, attaques ciblées). Protéger votre réseau devient ainsi plus complexe. Pour faire simple, nous avons segmenté l'univers des menaces en trois profils : les menaces connues, celles qui sont inconnues et celles connues mais non divulguées...

Prédiction 2 : la sécurité s’invite au conseil d’administration

Concernant les programmes de sécurité, tout est question de compromis et de réduction des risques. Pour maximiser leurs réussites, les équipes en charge de la sécurité doivent articuler ces compromis de façon optimale en traduisant les risques et les conséquences matérielles en termes de business, intégrant ainsi sérieusement la sécurité dans la stratégie de leur entreprise. Les Responsables de la Sécurité des Systèmes d’Information (RSSI) doivent aider les dirigeants et les membres du conseil d’administration à comprendre les compromis en matière de retour sur investissement, d’analyse des coûts et sur le plan des programmes de sécurité en évaluant les risques encourus par rapport à la valeur commerciale pour l’entreprise.

Au cours de l’année prochaine, les RSSI vont redoubler d’efforts pour présenter leurs concepts et programmes de sécurité en termes « business ». Parler de la sécurisation des données est une chose, démontrer la valeur d’une bonne cybersécurité pour l’entreprise en est une autre. À terme, cette démarche s’appliquera à tous les aspects de l’entreprise, mais dans un premier temps, elle concerne la conformité aux réglementations, les pertes de revenus potentielles, la relation avec les clients, la responsabilité juridique, la concurrence, la propriété intellectuelle, la fidélité des actionnaires et la protection de la marque.

Les dirigeants doivent faire un pas vers la sécurité, et les services en charge de la sécurité doivent faire deux pas vers eux. Le fait de combler le « fossé de la compréhension » entre les responsables de la sécurité et les membres du conseil d’administration crée le cadre nécessaire pour assurer une sécurité efficace en aidant toutes les parties prenantes à évaluer les risques et à décider comment les atténuer.

 

Prédiction 3 : une faille dans notre vie physique

Il existe une différence entre sécurité des informations et sécurité physique. Les fuites et failles dont souffrent aujourd’hui les entreprises, portent essentiellement sur les données. Bien que très pénible, le vol d’informations associées à une carte de crédit, d’un numéro de sécurité sociale ou de renseignements personnels n’entraînent pas de préjudice physique pour la victime.

En 2018, une faille touchera aussi bien notre vie physique que personnelle. Il s’agira peut-être du piratage ou de la prise de contrôle à distance d’un appareil médical ou d’un produit portable, d’un objet connecté à l’IoT industriel ou d’une voiture autonome — voire d’un appareil proche de chez vous.

En effet, des objets tels que la porte du garage ou un réfrigérateur deviennent de plus en plus intelligents et connectés. L’impact d’une attaque de ce type obligera les pouvoirs publics, les entreprises et les particuliers à être davantage attentifs à la sécurité de leurs infrastructures.

 

Prédiction 4 : l’UE va pénaliser les entreprises qui ne respectent pas le GDPR

Le 25 mai 2018, le Règlement Général relatif à la Protection des Données (GDPR en anglais) entrera officiellement en vigueur au sein de l’Union européenne (UE). Le GDPR va définir un cadre juridique visant à renforcer et unifier la protection et la distribution des données des citoyens de l’UE.

S’il a pour vocation de protéger les particuliers européens, ce règlement aura un impact sur les entreprises du monde entier qui comptent des clients ou des employés dans l’UE, celles-ci étant responsables de la manière dont elles traitent, stockent et protègent les données à caractère personnel. L’amende maximale a été fixée à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel global (le montant le plus élevé étant retenu). L’UE peut décider de faire un exemple avec l’une des premières entreprises pénalisée, faisant ainsi passer le message que le GDPR doit être véritablement pris au sérieux.

Il est fort probable que la première « victime » ne soit pas une organisation très connue, ce sera probablement une entreprise qui ne respecte pas la réglementation en vigueur dans d’autres domaines que le GDPR. À mesure que les pénalités gagneront une certaine notoriété aux quatre coins du monde, les entreprises n’auront d’autre choix que de prendre les mesures nécessaires pour se conformer au GDPR.

Sécurité - Par iTPro.fr - Publié le 02 janvier 2018