jeudi 4 juillet 2013

« Risques et sécurité numérique : un enjeu stratégique pour les entreprises »

A lire sur:  http://business.lesechos.fr/directions-generales/partenaire/risques-et-securite-numerique-un-enjeu-strategique-pour-les-entreprises-6550.php

Par Frank Mong, Vice-Président et General Manager des offres logicielles de Sécurité chez HP (San Francisco Groupe HP) avec Cyrille Bellanger, Les Echos Medias 02/05/2013

Frank Mong, Vice-Président et General Manager des offres logicielles de Sécurité chez HP, dresse un constat sur les cyber-risques pour les entreprises, en France et à l’étranger - avec des risques informatiques et numériques en pleine évolution, dus aux nouvelles pratiques - et nous livre ses recommandations pour gérer et minimiser les différents risques existants.




pour afficher les sous-titres en français, cliquer dans la video sur CC


Nous allons parler d’un sujet clé, le cyber-risque. Vous dirigez une société, vous êtes IT manager... Vous et votre équipe utilisez des accès Internet, BDD, services cloud, réseaux sociaux , multisupports… C’est bien, mais connaissez-vous le degré et les risques informatiques pour votre société de ces utilisations ? Nous allons parler de tout cela avec un spécialiste : Frank Mong, Vice-Président et General Manager des offres logicielles de sécurité chez HP, basé à San Francisco. Son rôle est de conseiller les entreprises, notamment les groupes, en matière de cyber-risques, de qualifier et de mettre en œuvre des solutions logicielles de sécurité. D’ailleurs, HP a récemment publié un livre blanc sur le cyber-risque.

Tout d’abord, il est clair que les comportements des entreprises évoluent, à cause de l’évolution des pratiques, ce qui amène « de facto » de nouveaux risques Quelles sont les différents types de cyber-risques pour les entreprises ?

Si on se réfère aux études menées par HP, ce qui est important à prendre en compte, ce n’est pas tant le risque en soi, mais plutôt les agissements d’acteurs malveillants qui veulent provoquer des défaillances dans les organisations pour endommager les données ou les capturer. Les chiffres du livre blanc de HP publié en février montrent qu’au sein des entreprises, 84% des vulnérabilités sont liés aux applications;
Cela signifie que les risques ont évolué et évoluent ; il ne s’agit plus de sécuriser les réseaux et les OS, mais de réussir l’enjeu de sécuriser les applications web et mobiles, compte-tenu de ces nouveaux supports et aussi du phénomène de l’utilisation de supports personnels au bureau…
Aussi, autre chiffré clé marquant, pour 94% % des attaques, les structures (entreprises, organisations) ne sont pas au courant et sont prévenues de l’attaque par un tiers ! On constate également depuis quelques mois que les attaques sont mêmes annoncées sur Twitter et Facebook et les réseaux sociaux en général…

Quelle est face à cette situation, l’offre, en termes de conseils et solutions, de HP pour sécuriser au mieux les risques des entreprises ?

Avant d’entrer plus en détail dans l’offre produits, notez que ce que nous cherchons vraiment à prendre en compte chez HP c’est la manière dont les menaces évoluent. Et c’est selon ces évolutions que nous concevons les solutions pour nos clients
Aujourd’hui, les hackers sont très organisés. Ils ont des spécialistes qui agissent selon des process étudiés avec une expertise réelle qui se monnaye même. Ils arrivent à trouver très précisément l’information qu’ils recherchent quelle que soit la taille de l’organisation. Ils trouvent tout ce qu’ils veulent sur vous et moi : Ils peuvent capter votre login, votre password et vos accès de compte bancaire, ainsi que vos emails.

On a chez HP déployé des solutions pour casser ces process et, élever le degré de sécurité : Ainsi, si c’est plus complexe cela devient plus difficilement accessible et donc plus cher pour des hackers. Notre réponse est d’upgrader vraiment la complexité. Nous avons des solutions performantes qui permettent de qualifier immédiatement des intrusions ou risques et informer nos clients en temps réel ; par exemple, pour bloquer les attaques d’intrusion au niveau du réseau nous avons la solution HP TippingPoint (solution de prévention d’intrusion de nouvelle génération). Dans cette solution est intégrée une fonction de recherche intelligente qui met à jour constamment les performances de la solution.

Au niveau des applications, sachant que pour rappel, 84% des vulnérabilités concernent la couche applicative nous avons la solution HP Fortify. Le client peut l’utiliser au cours du process de développement de ses applications web ou mobiles avec la mise en place de points de contrôle : une fois le code écrit, et avant la transmission de l’application aux utilisateurs, les développeurs utilisent HP Fortify pour détecter les vulnérabilités et donc réduire les risques associés.
Nous avons également le produit HP ArcSight, une plateforme de gestion de l’infrastructure IT. La plateforme permet de collecter les données dans tous les « devices » de l’entreprise, quel que soit son environnement. Elle utilise un moteur central (Core engine) qui recherche tout ce qui est anormal ou inhabituel et qui alerte alors aussitôt le RSSI ou le pôle de Sécurité pour prévenir le risque, le qualifier et le résoudre. La moindre petite anomalie est ainsi remontée. Cette plateforme est vraiment fantastique et vous permet de trouver une aiguille dans une meule de foin !

Pourriez-vous nous donner pour conclure des exemples de best practices déployés par des entreprises dans la protection et lutte contre le cyber-risque ?

Avec la Sécurité et le Cyber Risque, on va au-delà de la technologie et des produits. HP encourage ses clients à mettre l’accent sur des règles de bonne conduite et la formation. Il faut que les salarié soient sensibilisés aux règles d’utilisation de « devices » professionnels et comprennent qu’un usage personnel peut être néfaste pour le business.
Pour illustrer cela, sachez qu’en 2009 un cheval de Troie, Zeus, a été capable d’envoyer 1.5 million de messages sur Facebook. On compte ainsi 2,4 millions d’entreprises dans le monde « infectées » par Zeus aujourd’hui, avec des attaques réalisées à travers les réseaux sociaux ou les emails.

Ce sont des attaques faciles effectuées sur des individus par principe sans sécurité informatique ou numérique mais qui présentent un risque pour leurs entreprises… La formation est donc un point clé : l’entreprise doit définir clairement les règles d’usage des « devices » professionnels et informer ses salariés sur les risques et dangers encourus. Il faut que les individus suivent les règles et qu’ils sachent se comporter en cas de problème suspect.

Vous nous dites ainsi que les menaces sont réductibles. C’est une note et une perspective optimistes...

Je dirai que la perspective peut être optimiste. Si l’entreprise est pragmatique sur ce sujet, avec une approche simple et bien expliquée aux salariés sur le principe et le fonctionnement de la technologie ; si elle utilise de bons process sur la manière de détecter et d’appréhender les risques, alors c’est un bon point.…

Découvrez le « Rapport HP 2012 sur les Cyber-Risques ».
Ce livre blanc donne un large aperçu des vulnérabilités actuelles et explique comment
les maîtriser dans le but de minimiser les risques de sécurité.

Aucun commentaire:

Enregistrer un commentaire