Face à l’extension considérable des menaces, il est probable que toute entreprise sera un jour confrontée aux problématiques de pénétration frauduleuse de ses installations IT. En dehors des domaines particulièrement sensibles, il ne me semble pas forcément déraisonnable de considérer que les probabilités sont proches pour les différentes sociétés et domaines.
la sécurité de base passe par la sauvegarde des données
Ce qui fera probablement une vraie différence, une fois l’incident survenu, c’est la préparation de cette société et de ses équipes pour juguler l’incident, remettre son système dans un mode nominal et surtout récupérer toutes ses données. Soit, pour être plus bref et utiliser le jargon du métier, la présence d’un plan de continuité ou reprise d’activité et la capacité à sauvegarder/restaurer ses données.
Or, là où certains polémiquent sur la fréquence des tests à effectuer pour valider le bon fonctionnement des plans de continuité d’activité (PCA) ou des systèmes de sauvegarde, il est toujours inquiétant de constater que malheureusement, il en reste encore un très grand nombre qui ne se préoccupe pas de ces questions, voire même qui n’ont tout simplement pas mis en place ce type de mesure. Cette réflexion est également valable pour les systèmes de sauvegarde des données, alors même qu’il ne s’agit pas d’une notion réellement innovante.
A l’heure où la perte des données représente un risque de disparition pour une entreprise, où l’indisponibilité d’un équipement IT représente une perte d’argent potentiellement très importante, où un téléphone indisponible représente un client qui part à la concurrence, je ne comprends pas comment ces questions peuvent encore échapper à notre vigilance.
la sécurité, c'est une fonction support... mais vitale !
Alors voila, si aujourd’hui les professions de la sécurité ont le vent en poupe, si les apprentis aventuriers sont attirés par les cotés poétiques et libérateurs du test de pénétration (ou plus...), je pense qu’il ne faut malgré tout pas perdre de vue que notre métier doit rester d’assurer le bon fonctionnement d’un ensemble.
En jouant un peu sur la sémantique, il est facile de dériver de sécurité à sécurisation. Le coté sexy disparaît, il ne s’agit plus de chercher quelle est la meilleure solution sécurité pour lutter contre les APT, le meilleur algorithme pour lutter contre le spam, non, c’est beaucoup plus prosaïque, il s’agit de s’assurer qu’un système est tout simplement exploité au mieux de ses capacités. Ce qui implique clairement la capacité de pouvoir le restaurer en cas de problème et donc de sauvegarder la configuration aussi bien que les données.
quid de la sécurité dans les années à venir ?
Il est vrai que ce post peu ressembler à un cri jeté dans le désert, mais ne dit-on pas que le désert est rempli de vie malgré les conditions extrêmes qui y règnent ? Il y a donc une chance non négligeable pour que quelqu’un entende ce cri, et j’espère, l’écoute. Ceci me semble particulièrement important car la prise en compte de ces questions reste lente dans de nombreuses entreprises et dans certains domaines spécifiques.
Par ailleurs, il est probable que la situation de crise actuelle n’aidera pas les budgets sécurité et recentrera les priorités des entreprises sur d’autres aspects, en négligeant, à tord je pense, ces questions. Je finirai donc en vous demandant de me rendre ridicule dans mon souci, puisque tous ces aspects sont parfaitement couverts chez vous.
Cédric
credit photo : © Galyna Andrushko - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.