Traditionnellement les proxys, le filtrage d’URL et la protection antimalware sont vus dans l’entreprise comme un ensemble d’outils répondant à un besoin de sécurité. Ils sont là pour protéger l’entreprise des menaces extérieures tout en dissuadant les utilisateurs de passer trop de temps sur les sites non liés à leur activité (surf dit « récréatif »).
Or j’ai vu ces derniers temps une tendance de plus en plus marquée de certains clients à rechercher des solutions à bas prix. Par exemple en choisissant de n’implémenter sur le proxy que la partie filtrage et pas la partie protection Antimalware. A mon sens l’idée sous-jacente est de satisfaire un besoin de conformité et non plus d’assurer une protection. Je m’explique.
conformité : une obligation de moyens
Sans vouloir utiliser du jargon juridique la conformité c’est pour moi se doter de la capacité à se mettre en accord avec la loi.
Par exemple une entreprise peut se mettre en conformité avec la loi en filtrant ce qui est interdit par la législation (pédopornographie, diffusion de pages à contenus racistes ou négationnistes) ou par sa charte de déontologie (sites de paris en ligne etc…)
La loi peut aussi imposer à toute personne ou entreprise qui « offre » un accès public de contrôler l’usage qui est fait de ces accès publics sous peine de voir sa responsabilité engagée du fait des comportements illicites des tiers. Par exemple la loi anglaise va imposer un filtrage sur l’ensemble des accès wifi comme je l’évoquais dans cet article.
Dans une entreprise mettre en place un filtrage d’URL sur un proxy répond bien à cette approche de conformité car au fond ce n’est pas tellement le résultat (la qualité du filtrage) qui compte mais la capacité à prouver que l’on a fait quelque chose ! Il est tentant de se dire « j’ai mis en place une solution de filtrage donc je suis conforme, donc SamSuffit ». Certes mais n’est-ce pas un peu court ?
la sécurité : une obligation de résultat ?
Disons-le tout net comme le risque 0 la protection à 100 % n’existe pas, on ne peut donc pas exiger / attendre une garantie de résultat de la part d’un système de sécurité.
Toutefois on est en droit d’attendre d’un système de protection antimalware classique « certains » résultats comme la détection de malwares connus et la protection des utilisateurs contre les menaces courantes.
En reprenant mon exemple, se priver d’un tel outil c’est accepter le risque de se faire infecter par un malware présent dans une page considérée comme légitime par l’outil de filtrage. Plutôt risqué non ? Donc dans le cas du web filtering, associer le filtrage à une détection antimalware même simplement basée sur des signatures me semble le minimum vital !
Si l’on veut aller plus loin et tenter de se protéger plus efficacement encore on aura tendance à déployer plus de moyens pour tenter d’anticiper et ne plus se contenter de sécurité réactive. Par exemple en déployant un antimalware basé sur une analyse comportementale, des tests de vulnérabilité voire des outils de lutte contre les APT ou un SIEM dans l’entreprise.
On ne sera pas plus sûr du résultat, je rejoins Jean-François Audenard là-dessus, mais on peut tout de même raisonnablement estimer qu’on a relevé le niveau de protection ! Et même sans pouvoir attendre une obligation de résultat des outils informatiques, on s’est doté de moyens de lutte renforcés. Le plus complexe selon moi étant de choisir le bon outil pour le bon niveau de protection attendu. Pas simple mais je suis sûr que les consultants excellent dans ces analyses et préconisations ! Sans même parler du reporting et de l’analyse dans lequel le facteur humain est fondamental. Avoir les outils c’est bien, savoir s’en servir c’est mieux !
mise en garde contre une tentation de court terme
Etant un incorrigible optimiste ce n’est pas de ma part un constat d’échec de la sécurité, mais la mise en garde contre une tentation de court terme. Je suis persuadé que l’approche du « good enough » ou du « Samsuffit », si elle peut se comprendre pour répondre à un simple besoin de conformité, n’est pas tenable si une entreprise souhaite une protection « raisonnable » de ses données. Dans ce cas il faut aller plus loin que la simple conformité et s’en donner les moyens matériels mais aussi humains tout en gardant à l’esprit qu’il faut garder une confiance raisonnable mais critique en les outils qui nous sont proposés.
Ce qui est sûr, c’est que les menaces augmentent et que personne n’est à l’abri. Se désengager de la sécurité même pour une fonction perçue comme aussi « anodine » qu’un antimalware de flux web est pour moi un calcul à courte vue et une erreur à long terme !
Philippe
crédit image © 3drenderedlogos.com - Fotolia.com
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.