Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Rationaliser les infrastructures sécurité, facile à dire ...

Rationaliser les infrastructures sécurité, facile à dire ...
2009-05-162013-02-11sécurité organisationnelle et humainefr
On ne peut pas « débrancher » la sécurité en marche... Par contre , la cible et la trajectoire des investissements peut être repensée : on peut mieux utiliser les budgets, pour faire plus efficace avec un bon pilotage, plus simple avec un renouvellement des techno et plus réaliste en...
Publié le 16 Mai 2009 par Jean-Michel Craye dans sécurité organisationnelle et humaine
Pas plus que dans le reste du SI, le BIG BANG n'est possible, on ne peut pas « débrancher » la sécurité en marche...

Par contre , la cible et la trajectoire des investissements peut être repensée : on peut mieux utiliser les budgets, pour faire plus efficace avec un bon pilotage, plus simple avec un renouvellement des techno et plus réaliste en prennant en compte le facteur humain.

Une fois les coûts connus, quels sont les leviers que le RSSI peut activer pour optimiser ces budgets ?

Il y a trois leviers qui peuvent être mis en œuvre :

  • D'abord, rationnaliser le parc de technologies de sécurité. Beaucoup de solutions de sécurité datent du début des années 2000, et se sont accumulées, avec des questions de coûts de maintenance, de gestion et la multiplication des fournisseurs. Il y a des gains importants à rajeunir et rationnaliser le Sourcing de ces composants de base qui sont maintenant arrivé à maturité.
  • Ensuite, profiter des nouvelles approches (Appliance tout en un, solution in the Cloud, sécurité dynamique) qui, sans prétendre tout régler, simplifier largement le parc de solution et offre un bien meilleur rapport cout / exploitation.
  • Enfin adapter les architectures et les pratiques. Il y a peut être d'un coté un surinvestissement sur des solutions très (trop) pointues, je pense ici à la course à l'armement sur la défense péri métrique et de l'autre des « trous » beaucoup plus simple à combler et absolument indispensable à prendre en compte. Par exemple, il est frappant de constater que le chiffrement des disques durs, solution simple à mettre en œuvre, reste un parent pauvre de la sécurité.

Donc en résumer, en prennant le parallèle avec l'agriculture, il est urgent de faire de « la sécurité raisonnée ».

Ces choix technologiques ne sont pas simples, comment cibler les zones ou les équipements à rationnaliser ?

Sans outil décisionnel, il est effectivement extrêmes difficile d'orienter les choix de technologies ou d'architecture. Dans les derniers mois, quelles ont été les zones sous pression de mon informatique ? Y a-t-il un type des flux suspects ? Quelle fraction de mon parc de Laptop est à jour ? Combien faut-il de temps pour diffuser des correctifs ?
Autant de question qui restent sans réponse sans une solution de remontée des informations de sécurité et de reporting. C'est le point clés de l'adaptation des ressources sécurité à la réalité de l'entreprise.
Pour adapter le budget, et ensuite le justifier, un tableau de bord de la sécurité doit pouvoir aligner des indicateurs objectifs de l'état de la sécurité dans l'ensemble de l'architecture (poste de travail, réseaux, application).
Il faut ajouter que cela ne concerne pas que les équipements sécurité mais la compilation doit pouvoir rapprocher tous éléments qui permettent d'expliquer les dysfonctionnements.
Pour prendre un exemple, la surveillance du réseau, sa configuration et la sécurité peut produire des indicateurs communs afin d'expliquer pourquoi et comment la bande passante est bien, ou mal, consommée.

Si les RSSI réussissent à trouver de nouvelles marges de manœuvres, a quoi vont-elles servirent ?

C'est une des finalités de l'optimisation des coûts de la sécurité : se donner des marges de manœuvre pour redéployer la sécurité au fur et à mesure des evolutions de l'environnement.
Il y a effectivement des sujets qui sont urgents à reconsidérer car les utilisateurs évoluent très vite, leurs technologies aussi et l'entreprise elle-même modifie ses frontières au gré des modifications de la stratégie.
Pour les utilisateurs, il y a probablement urgence à repenser sa place dans la sécurité et à redéployer des efforts de sécurité. Si l'utilisateur, en tant que personne privé, passe 10% de son temps sur les réseaux sociaux, que doit faire la sécurité pour éviter que la mince cloison entre vie privée et vie professionnelle soit percée avec les conséquences que l'on imaginer quant à la divulgation d'informations sensibles. Pour illustrer mon propos, je vous recommande de vous connecter sur le blog d'orange business securité ( blogs.orange-business.com/securite/ ) , un de nos experts a produit une vidéo, très édifiante sur le piège que peut constituer la participation d'un utilisateur non averti dans un réseau social.
Le budget sécurité doit donc être rééquilibré vers le facteur humain plus que technique.
Le deuxième élément de réorientation vise à améliorer la flexibilité de la sécurité face aux modifications permanentes de l'entreprise. Les budgets doivent donc être eux aussi adaptables.

Concrètement cela veut dire variabiliser les couts en fonction des besoins en recourant à des solutions de type 0 investissement (par exemple pour les postes de travail ou pour certains points de la sécurité réseau) mais aussi en mutualisant des fonctions qui doivent implantée rapidement (par exemple en mutualisant sécurité et point d'accès au réseau pour l'ouverture d'une filiale distante).

1 Commentaire

  • 16 Mai 2009
    2009-05-16
    par
    Florent
    Je vois sur le terrain un renouvellement de technologies de sécurité d'une époque où on faisait confiance à la boîboîte. Fini la boîte noire qu'on plug et qu'on oublie.

    Maintenant la grande mode des ISO27001 a fait prendre conscience du besoin d'avoir des indicateurs. Combien de virus bloqués ? Combien de spams bloqués ? Quel pourcentage est passé (faux-positifs) ?

    Les nouvelles solutions qui prennent le dessus sont celles qui font le meilleur reporting...

    Heureusement des mythes tombent comme le fabuleux 80% des attaques proviennent de l'intérieur... Les gens commencent à voir la réalité en face.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage