Publié le : 02 octobre 202011 mins de lecture
Il est facile de se moquer de quelqu’un qui aurait négligé une mesure de sécurité soi-disant simple. Cependant, les véritables problèmes qui conduisent à une fuite de données sont beaucoup plus profonds et ne peuvent être résolus en blâmant et en tournant le carrousel du personnel. Au moment où un tel événement fait la une des journaux, beaucoup de choses se sont déjà produites qui sont passées inaperçues pour le public. Comme l’ont souvent expliqué les experts, un attaquant habile peut passer en moyenne plusieurs mois dans une sécurité relative sur un réseau, en essayant d’étendre sa portée d’accès. Dans la perception du public, cependant, il n’y a souvent qu’une variante de « pendant des mois, personne n’a remarqué – à quel point pouvez-vous être aveugle ou incompétent ? ». En prévention de la menace, des actions doivent être mises en œuvre pour assurer la sécurité informatique.
Comprendre la défaillance de sécurité informatique dans son travail
La sécurité dans la structure informatique des entreprises est classée parmi les éléments primordiaux qu’il ne faut jamais divulguer par quelqu’un d’autre. Tous les données, informations, projet et autres sont gardés dans les systèmes technologiques de votre entreprise, d’où assurer sa sécurité est le principe option à entreprendre. Dans ce contexte, on ignore généralement qu’il existe des mesures pour empêcher l’accès non autorisé. Cependant, soit ces derniers ont progressivement échoué en silence, soit certains signes ont été mal interprétés. Au lieu de se demander « comment nous avons pu négliger ce problème ? », on devrait plutôt s’interroger : « pourquoi les outils ou les processus qui étaient censés nous avertir ont-ils échoué ? »
Bien sûr, il y a toujours des cas de négligence grave ou de manque de soin, mais là n’est pas la question. Dans l’écrasante majorité des cas, les violations majeures de données sont le résultat de toute une série de circonstances et non d’une « attaque unique, majeure et écrasante ». Les débuts sont souvent peu spectaculaires et peuvent difficilement être évités avec un effort raisonnable. Un simple courriel peut être le début d’un incident médiatique. Mais faut-il pour autant interdire aux employés d’ouvrir le courrier ? Les départements marketing du monde entier sont passés maîtres dans la diffusion d’histoires effrayantes. Un scénario de menace sera élaboré et une solution sera présentée pour éliminer cette menace. C’est leur travail. Cela dure depuis des années, voire des décennies. Une stratégie souvent suivie est appelée « FUD » : « Fear, Uncertainty, Doubt ». Ils parlent de menaces persistantes avancées (Advanced Persistent Threat – APT) et d’attaques de pirates informatiques et ne se lassent pas de maintenir en vie les clichés de morts comme le méchant à capuche.
Alors, mettons les choses au clair : Les APT et les attaques de pirates informatiques ne sont en aucun cas un « spectacle secondaire » qui peut être ignoré sans risque. Cependant, les APT souvent cités comme argument marketing ne sont pas pertinents pour 99 % des entreprises. Du point de vue d’un attaquant, il est beaucoup plus facile d’exploiter le proverbial « bogue de bureau de la semaine » ou d’utiliser de simples tactiques d’ingénieur sociales pour accéder à des données que de développer un logiciel personnalisé intégré au réseau. Si les grandes zones d’attaque ne sont pas éliminées, il est tout simplement inutile de s’inquiéter des cas particuliers.
Mettre en place les plans d’attaques pour assurer la sécurité informatique
Dans la majorité des cas, se disputer avec les APT pour vendre une solution logicielle ou un appareil particulier revient à acheter un bouclier pour se protéger des impacts de météorites et à se sentir prêt à tout, bien qu’il soit beaucoup plus probable qu’il tombe dans les escaliers chez soi.
Vous avez peut-être alors effectivement couvert un certain scénario de risque qui causerait effectivement des dommages catastrophiques, mais vous n’avez rien changé au risque, ce qui est beaucoup plus pertinent. C’est exactement le problème : dans de nombreux cas, les solutions sont annoncées et utilisées sur la base de scénarios. Trop souvent, on perd de vue la construction globale. L’informatique en général et la sécurité informatique en particulier doivent toujours être considérées dans leur ensemble et non comme un ensemble de composantes individuelles isolées. Dans la mesure où mettre en sécurité ses données informatiques est l’objectif global d’une entreprise, diverses options devraient être prises en considération. Tout d’abord, il faut mettre en place un plan d’attaque efficace comme le développement d’un réseau informatique dans son entreprise. Vous devez donc augmenter votre personnel dans ce genre de travail, tout en les donnant des formations adéquates. La gestion des affaires technologiques doit être réservée par un ingénieur informatique. Il connaît les différentes techniques et systèmes technologiques permettant de gérer les risques liés face à cette problématique.
L’architecte d’un bâtiment doit également savoir quelle charge la fondation doit finalement supporter. Il en résulte une limite de charge qui ne doit pas être dépassée. Si des composants essentiels sont modifiés par la suite, il y a danger. Il y a déjà eu des exemples de ce genre dans la pratique : il y a quelques années, un centre commercial en Corée du Sud s’est effondré presque sans prévenir. Rétrospectivement, il s’est avéré que le client a insisté sur la construction d’étages supplémentaires après la fin de la planification et le début des travaux de construction. Certaines unités de climatisation lourde ont ensuite été placées sur le toit à un endroit différent de celui prévu – ni l’une ni l’autre n’était prévue dans le plan initial, et le plan n’a pas été modifié. Lorsque l’architecte a fait part de ses inquiétudes et a averti que les changements souhaités rendraient le bâtiment instable, il a été sommairement licencié.
Connaître les principes de bases à mettre en place
Pour optimiser la sécurité de la structure informatique optimale de votre entreprise, vous devez vous reposer sur quelques principes de bases. L’application de ces techniques est l’une des solutions idéales pour garder en secret les informations primordiales de votre organisation. En effet, elle procure un développement énorme sur le travail, le réseau et la mise en œuvre des risques technologiques qui peuvent entraver vos systèmes informatiques.
Premièrement, une communication efficace et ciblée est donc le premier pas vers une stratégie efficace et durable si l’on veut éviter que la structure ne s’effondre comme un château de cartes à la fin. Ensuite, la confiance est la deuxième clé essentielle : les responsables de la sécurité doivent pouvoir être sûrs qu’ils ont toutes les informations nécessaires à leur disposition et qu’ils recevront également des informations si les exigences ont changé. S’il s’avère que les structures existantes ne sont pas compatibles avec les projets prévus, les responsables doivent également pouvoir compter sur le fait que leurs préoccupations ne seront pas écartées – souvent, de nouveaux projets sont « menés à bien » malgré toutes les préoccupations, même si des inquiétudes sur le sens de l’objectif ou la sécurité ont été exprimées à voix haute – que ce soit en raison de sensibilités du personnel ou parce que le responsable veut recevoir sa prime à la fin de l’année. Et enfin, le développement d’un objectif global bien défini pour favoriser la sécurité informatique de son enseigne. Dans le biais d’une bonne surveillance de vos données informatiques, vous pourrez connaître en toute évidence qui consulte en permanence votre fichier personnel via l’application cloud. Puisque seul vous a le droit à l’accès de vos données techniques, la mise en place de cette application est donc primordiale pour connaître le niveau d’intrusion sur vos métiers. La sécurité systèmes technologiques varient en fonction du projet et l’objectif global de l’entreprise. Vous pouvez aussi faire une open source pour la sécurité sociale et aussi pour renforcer la gestion risques de vos technologies informatiques.
Inversement, les dirigeants ou les proches doivent également avoir davantage confiance en leurs responsables et personnels de la sécurité informatique. Ils ont l’expertise et peuvent mieux évaluer la sécurité réelle de l’entreprise, et que vous pouvez les croire quand ils disent « ça ne marchera pas comme ça ». Dans de nombreux cas, certains sujets sont simplement « étouffés », soit par crainte de représailles, soit par crainte d’une presse négative. Une approche ouverte et constructive du thème de la sécurité informatique et des fuites de données et d’informations serait la bonne façon de procéder, mais ce ne sera pas facile. Après tout, personne n’aime admettre qu’il a fait une erreur – surtout lorsque cette erreur est rendue publique. Le travail de construction devient d’autant moins facile qu’il y a un risque d’être choisi comme « coupable » ou comme un sacrifice de gage. Cependant, chaque erreur cache aussi une chance d’éviter la même erreur à l’avenir. Et d’autres peuvent être sauvés de la même erreur. Pour ce faire, vous devez toutefois être en mesure de vous parler ouvertement et sans crainte – et cela n’arrive pas assez souvent. La confiance, la communication et un objectif global clair sont la clé d’une structure informatique meilleur et plus sûr. Et si quelque chose tourne mal, vous devriez tirer les leçons de cette expérience. Si vous ne faites pas cela, vous n’apprendrez pas et vous n’améliorerez pas votre sécurité. En passant, un autre truisme dit : « Après, vous êtes toujours plus intelligent ». Dans la mesure où vous n’avez pas encore eu idée de ces systèmes, sur internet, un fichier ou des livres avec un tome PDF sont à votre disposition pour savoir encore plus sur les sciences et systèmes technologiques.
