Des audits de sécurité
Un rapport de l'Américain Cisco souligne l'importance, pour les entreprises, de privilégier le déploiement de solutions intégrées et le recours à des fournisseurs de services de sécurité à des fins d'orientation et d'évaluation. Des sociétés comme Above Security sont spécialisées dans les audits de sécurité pour révéler aux entreprises les failles de leur système informatique. Pour cela, elles réalisent des tests d'intrusion ou de vulnérabilité en simulant des virus informatiques. " Les entreprises doivent exiger de leurs éditeurs de solutions de réduire les délais de détection et de résolution à quelques minutes, explique Jason Brevnik, ingénieur en chef pour le groupe de sécurité Cisco. N'étant pas soumis aux mêmes contraintes que les professionnels de la sécurité, les hackers ont l'avantage en matière d'agilité et d'innovation. " Des acteurs historiques, spécialisés à l'origine dans les antivirus comme McAfee, Trade Micro ou Symantec proposent des solutions adaptées. " Le marché évolue avec des brokers appelés cloud access security brokers (CASBs) ", selon le président du Cesin. D'après la définition de Gartner, les CASBs sont des points de concentration, déployés dans l'entreprise ou dans le cloud, placés entre les utilisateurs et les services du cloud, qu'ils utilisent pour appliquer les politiques de sécurité de l'entreprise. Ces CASBs répondent donc à des sujets aussi divers que l'authentification et l'autorisation d'accès.
Enfin, de plus en plus de prestataires se dotent de centres de surveillance dédiés au dépistage des attaques. Comme Microsoft avec son "Microsoft response center". " Les data centers et Microsoft, en général, sont parmi les plus attaqués au monde, explique Marc Gardette, responsable de la stratégie cloud au sein de la direction technique et sécurité de Microsoft France. Les moyens que nous mettons en oeuvre pour protéger physiquement data centers, réseaux, serveurs et données des clients sont colossaux. Nous cryptons, par exemple, les données des clients lorsqu'elles sont stockées sur notre data center. "
Sécuriser les data centers
La sécurité informatique passe aussi par celle des data centers. En effet, selon l'opérateur national Celeste, fournisseur de solutions haut débit et haute disponibilité pour les entreprises, voici les questions de base à poser à son hébergeur. Le premier sujet de préoccupation concerne la sécurité thermique, " élément le plus négligé, et à l'origine de nombreuses pannes ". Comment sont refroidies les machines ? Est-ce de l'air recyclé et climatisé ? etc. En cas de panne de ces systèmes de refroidissement, il est nécessaire de savoir si le réseau est doublé. Autre sujet : la sécurité électrique. Elle doit être examinée, depuis la haute tension jusqu'aux serveurs informatiques. De combien de sources électriques haute tension le data center dispose-t-il ? Les transformateurs haute tension sont-ils protégés contre l'incendie ? Comment les groupes électrogènes sont-ils dimensionnés ? Peuvent-ils secourir tout le data center ou uniquement la puissance de l'informatique ? Enfin, les réseaux de fibre optique des data centers doivent également être sécurisés. D'autres éléments de sécurité sont à examiner : contrôle d'accès, vidéosurveillance, détection d'incendie et extinction automatique d'incendie. Un autre élément capital à prendre en compte est la présence de personnel sur le site : agents de sécurité, mais aussi personnel de maintenance, techniciens réseaux et systèmes, etc. Les procédures de mise en production, maintenance, SAV, doivent être clairement définies et appliquées. Pour avoir des indications sur la qualité de l'exploitation, une visite est utile. Une foule de précautions à prendre en compte, susceptibles d'éviter des désagréments se chiffrant à plusieurs milliers d'euros.
(1) Étude de 2014, "Le RSSI à la croisée des exigences".
Un serious game pour comprendre les enjeux de la sécurité informatique
Découvrir de façon ludique les enjeux d'un sujet difficile comme la sécurité informatique : c'est ce que propose le Cigref, association chargée de promouvoir la culture numérique avec le serious game baptisé "Keep an eye out". Un jeu lancé en juin dernier pour apprendre à devenir "l'ange gardien de la sécurité numérique de son entreprise". "Keep an eye out" est un jeu d'aventure scénarisé en 3D. Le joueur doit veiller sur deux salariés, Alex et Camille, lors d'un déplacement professionnel risqué, impliquant la manipulation de données confidentielles de leur entreprise. Le joueur les accompagne à travers cinq missions dans des lieux comme le domicile, la gare ou le train. Son but est d'obtenir le meilleur niveau de sécurité possible à chaque phase du jeu. Le concepteur Daesign, spécialisé dans le serious game, le propose à des tarifs dégressifs en fonction de la taille des entreprises, sous forme d'abonnement annuel en mode SaaS.
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles