Thales remet à plat l’approche de la sécurité IT

Consolider les protections de base, approcher la sécurité par les applications métiers, déployer une protection de bout en bout… Selon Stanislas de Maupeou de Thales, la sécurité n’est efficace que si elle répond aux besoins après analyse.

« On cherche des choses très complexes alors que les fondations ne sont pas présentes… Cela fait mal au coeur de le dire encore en 2011. » Directeur en charge de la cyber-défense pour le compte de Thales, Stanislas de Maupeou regrette que les responsables sécurité se focalisent sur les menaces sophistiquées alors que les questions de base restent encore et toujours négligées.

Rencontré dans le cadre des Assises de la sécurité à Monaco par nos confrères de ITespresso.fr, cet expert en cyber-sécurité (ex-CERTA) invoque les mots de passe d’administration des systèmes d’information souvent « triviaux » et les applications métiers qui continuent de tourner sous Windows NT4, plate-forme des années 90 plus supportée par son éditeur.

Naïveté persistante des responsables IT

Et de regretter la « naïveté » persistante des responsables informatiques face aux problématiques de sécurité IT. L’homme considère que l’on se focalise davantage sur les application Web aux dépens des applications métier. « Les DSI sont-elles documentées ? Qui les maintient ? Qui les met à jour ? »

Autre réflexion avancée : la sécurité représente bel et bien un coût. « C’est un non-sens de penser que l’on va s’affranchir de personnes compétentes et expérimentées. L’analyse des logs demeure un outil essentiel… Il faut des personnes formées même si c’est un travail ingrat. » Selon lui, le modèle de la sécurité IT est « à revoir » dans le sens de la prévention qui « apporterait de grands résultats ».

Mais comment s’y prendre? Le Monsieur cyber-défense de Thalès préconise « un périmètre plus restreint correspondant aux applications métiers critiques de l’entreprise » avant d’élargir progressivement cette zone de protection. Cette approche « pragmatique » de « degré de mobilisation » dans la sécurité IT des infrastructures devrait être associée à « des contrats d’assurance (…) qui prennent en compte les vrais risques ».

Une approche de bout en bout

A l’image, en somme, des solutions du groupe d’électronique qui commercialise des solutions de sécurité de bout en bout pour le compte de grandes entreprises ou d’opérateurs d’infrastructures vitales. Il exploite son propre centre opérationnel de cyber-sécurité, à l’instar de l’ANSSI (Agence nationale de sécurité des systèmes d’information).

Thalès a présenté une solution globale baptisée Cybels (pour « Cyber expertise for leading security ») au nom d’une « approche plus réaliste de la sécurité de bout en bout » : détection, corrélation, analyse, réaction… « La vision seule des outils est insuffisante, considère Stanislas de Maupeou. Il faut faire une analyse préalable pour savoir ou mettre les outil de sécurité IT et comment les paramétrer convenablement. » Un bon sens de base, en somme.

Crédit photo : © nali – Fotolia.com