Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité web : la tentation du « SamSuffit » ?

Sécurité web : la tentation du « SamSuffit » ?
2014-07-012014-07-01bonnes pratiquesfr
Traditionnellement les proxys, le filtrage d’URL et la protection antimalware sont vus dans l’entreprise comme un ensemble d’outils répondant à un besoin de sécurité. Ils sont là pour protéger l’entreprise des menaces extérieures tout en dissuadant les utilisateurs de passer trop de temps sur les si
Publié le 1 Juillet 2014 par Philippe Macia dans bonnes pratiques
sécurité web : la tentation du « SamSuffit » ?

Traditionnellement les proxys, le filtrage d’URL et la protection antimalware sont vus dans l’entreprise comme un ensemble d’outils répondant à un besoin de sécurité. Ils sont là pour protéger l’entreprise des menaces extérieures tout en dissuadant les utilisateurs de passer trop de temps sur les sites non liés à leur activité (surf dit « récréatif »).

Or j’ai vu ces derniers temps une tendance de plus en plus marquée de certains clients à rechercher des solutions à bas prix. Par exemple en choisissant de n’implémenter sur le proxy que la partie filtrage et pas la partie protection Antimalware. A mon sens l’idée sous-jacente est de satisfaire un besoin de conformité et non plus d’assurer une protection. Je m’explique.

conformité : une obligation de moyens

Sans vouloir utiliser du jargon juridique la conformité c’est pour moi se doter de la capacité à se mettre en accord avec la loi.

Par exemple une entreprise peut se mettre en conformité avec la loi en filtrant ce qui est interdit par la législation (pédopornographie, diffusion de pages à contenus racistes ou négationnistes) ou par sa charte de déontologie (sites de paris en ligne etc…)

La loi peut aussi imposer à toute personne ou entreprise qui « offre » un accès public de contrôler l’usage qui est fait de ces accès publics sous peine de voir sa responsabilité engagée du fait des comportements illicites des tiers. Par exemple la loi anglaise va imposer un filtrage sur l’ensemble des accès wifi comme je l’évoquais dans cet article.

Dans une entreprise mettre en place un filtrage d’URL sur un proxy répond bien à cette approche de conformité car au fond ce n’est pas tellement le résultat (la qualité du filtrage) qui compte mais la capacité à prouver que l’on a fait quelque chose ! Il est tentant de se dire « j’ai mis en place une solution de filtrage donc je suis conforme, donc SamSuffit ». Certes mais n’est-ce pas un peu court ?

la sécurité : une obligation de résultat ?

Disons-le tout net comme le risque 0 la protection à 100 % n’existe pas, on ne peut donc pas exiger / attendre une garantie de résultat de la part d’un système de sécurité.

Toutefois on est en droit d’attendre d’un système de protection antimalware classique « certains » résultats comme la détection de malwares connus et la protection des utilisateurs contre les menaces courantes.
En reprenant mon exemple, se priver d’un tel outil c’est accepter le risque de se faire infecter par un malware présent dans une page considérée comme légitime par l’outil de filtrage. Plutôt risqué non ? Donc dans le cas du web filtering, associer le filtrage à une détection antimalware même simplement basée sur des signatures me semble le minimum vital !

Si l’on veut aller plus loin et tenter de se protéger plus efficacement encore on aura tendance à déployer plus de moyens pour tenter d’anticiper et ne plus se contenter de sécurité réactive. Par exemple en déployant un antimalware basé sur une analyse comportementale, des tests de vulnérabilité voire des outils de lutte contre les APT ou un SIEM dans l’entreprise.

On ne sera pas plus sûr du résultat, je rejoins Jean-François Audenard là-dessus, mais on peut tout de même raisonnablement estimer qu’on a relevé le niveau de protection ! Et même sans pouvoir attendre une obligation de résultat des outils informatiques, on s’est doté de moyens de lutte renforcés. Le plus complexe selon moi étant de choisir le bon outil pour le bon niveau de protection attendu. Pas simple mais je suis sûr que les consultants excellent dans ces analyses et préconisations ! Sans même parler du reporting et de l’analyse dans lequel le facteur humain est fondamental. Avoir les outils c’est bien, savoir s’en servir c’est mieux !

mise en garde contre une tentation de court terme

Etant un incorrigible optimiste ce n’est pas de ma part un constat d’échec de la sécurité, mais la mise en garde contre une tentation de court terme. Je suis persuadé que l’approche du « good enough » ou du « Samsuffit », si elle peut se comprendre pour répondre à un simple besoin de conformité, n’est pas tenable si une entreprise souhaite une protection « raisonnable » de ses données. Dans ce cas il faut aller plus loin que la simple conformité et s’en donner les moyens matériels mais aussi humains tout en gardant à l’esprit qu’il faut garder une confiance raisonnable mais critique en les outils qui nous sont proposés.

Ce qui est sûr, c’est que les menaces augmentent et que personne n’est à l’abri. Se désengager de la sécurité même pour une fonction perçue comme aussi « anodine » qu’un antimalware de flux web est pour moi un calcul à courte vue et une erreur à long terme !

Philippe

crédit image © 3drenderedlogos.com - Fotolia.com

2 Commentaires

  • 7 Juillet 2014
    2014-07-07
    par
    Philipe Macia
    Bonjour Clément
    Merci pour votre commentaire.
    Mon article ne visait pas de tels opérateurs pour qui, du moins je l'espère, la sécurité quelle qu'elle soit (physique, informatique...) est une préoccupation centrale. Et encore plus je pense depuis l'affaire Stuxnet.
    Ma crainte, au vu de certaines demandes clients, est de voir la pratique du "SamSuffit" se répandre dans des entreprises drivées par les économies de coûts. Et j'ai peur que cette économie sur la souscription d'un antivirus de flux se transforme rapidement en catastrophe pour l'entreprise qui peut ouvrir une faille importante en faisant reposer la détection des malware sur le seul antivirus du poste de travail. Quand il existe!
    Sans même évoquer les smartphones et tablettes qui sont fort mal protégées localement.
    Philippe Macia
  • 4 Juillet 2014
    2014-07-07
    par
    Clément
    Encore un très article.Je ne me lasse pas de vous lire chers et chères collègues.
    La cybersécurité doit elle être dans une démarche d'obligation de résultat?
    Celà dépend des conséquences de l'atteinte au système.Par exemple l'atteinte à un dispositif de contrôle d'une centrale nucléaire sera dramatique si le pirate parvient à faire surchauffer le coeur.Donc là il y a obligation de résultat car découlant de l'obligation de préserver des vies.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage