« On cherche des choses très complexes alors que les fondations ne sont pas présentes… Cela fait mal au coeur de le dire encore en 2011. » Directeur en charge de la cyber-défense pour le compte de Thales, Stanislas de Maupeou regrette que les responsables sécurité se focalisent sur les menaces sophistiquées alors que les questions de base restent encore et toujours négligées.
Rencontré dans le cadre des Assises de la sécurité à Monaco par nos confrères de ITespresso.fr, cet expert en cyber-sécurité (ex-CERTA) invoque les mots de passe d’administration des systèmes d’information souvent « triviaux » et les applications métiers qui continuent de tourner sous Windows NT4, plate-forme des années 90 plus supportée par son éditeur.
Naïveté persistante des responsables IT
Et de regretter la « naïveté » persistante des responsables informatiques face aux problématiques de sécurité IT. L’homme considère que l’on se focalise davantage sur les application Web aux dépens des applications métier. « Les DSI sont-elles documentées ? Qui les maintient ? Qui les met à jour ? »
Autre réflexion avancée : la sécurité représente bel et bien un coût. « C’est un non-sens de penser que l’on va s’affranchir de personnes compétentes et expérimentées. L’analyse des logs demeure un outil essentiel… Il faut des personnes formées même si c’est un travail ingrat. » Selon lui, le modèle de la sécurité IT est « à revoir » dans le sens de la prévention qui « apporterait de grands résultats ».
Mais comment s’y prendre? Le Monsieur cyber-défense de Thalès préconise « un périmètre plus restreint correspondant aux applications métiers critiques de l’entreprise » avant d’élargir progressivement cette zone de protection. Cette approche « pragmatique » de « degré de mobilisation » dans la sécurité IT des infrastructures devrait être associée à « des contrats d’assurance (…) qui prennent en compte les vrais risques ».
Une approche de bout en bout
A l’image, en somme, des solutions du groupe d’électronique qui commercialise des solutions de sécurité de bout en bout pour le compte de grandes entreprises ou d’opérateurs d’infrastructures vitales. Il exploite son propre centre opérationnel de cyber-sécurité, à l’instar de l’ANSSI (Agence nationale de sécurité des systèmes d’information).
Thalès a présenté une solution globale baptisée Cybels (pour « Cyber expertise for leading security ») au nom d’une « approche plus réaliste de la sécurité de bout en bout » : détection, corrélation, analyse, réaction… « La vision seule des outils est insuffisante, considère Stanislas de Maupeou. Il faut faire une analyse préalable pour savoir ou mettre les outil de sécurité IT et comment les paramétrer convenablement. » Un bon sens de base, en somme.
Crédit photo : © nali – Fotolia.com
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.