sécurité_réseau

Transcription

sécurité_réseau

point _of _view
sécurité_réseau
Sécurité réseau: gérer les risques et
les opportunités
Une enquête et un livre blanc réalisés par AT&T en collaboration
avec The Economist Intelligence Unit
point _of_view
Synthèse
La sécurité est aujourd'hui considérée comme la principale caractéristique critique des réseaux d'entreprise. Ce
constat forme l'une des conclusions de la seconde enquête annuelle portant sur les réseaux et les stratégies
d'entreprise, réalisée par The Economist Intelligence Unit pour le compte d'AT&T. Et il n'est pas vraiment surprenant,
du fait de la multiplication sans précédent de brèches significatives de sécurité au cours de l'année passée.
Alors que le thème de la sécurité préoccupe les entreprises, la grande majorité des dirigeants ayant participé à
notre enquête souhaite pourtant ouvrir encore plus leurs réseaux à leurs partenaires, clients et collaborateurs
mobiles. Mais à leur grand dépit, cette ouverture contribue à la création de vulnérabilités supplémentaires. A moins
de mettre en œuvre des règles et des pratiques de sécurité pour assurer la protection de leur réseau, les dirigeants
ont probablement raison de penser que les attaques de sécurité forment la plus importante menace pouvant
entraver le développement soutenu de l'entreprise en réseau.
Certains dirigeants considèrent que garantir la sécurité et la fiabilité tout en externalisant simultanément la gestion
de leurs réseaux, représente seulement une dépense supplémentaire dans le budget informatique. Ce raisonnement
semble hâtif. Investir dans la sécurité informatique devrait au minimum être considéré comme un moyen de
multiplier les accès à leurs réseaux de manière efficace et sécurisée, afin de répondre à leurs besoins stratégiques.
Chez de nombreuses entreprises, maximiser la sécurité et l'accès des différentes populations concernées commence
à être perçu comme un facteur essentiel de succès.
Les dépenses en matière de sécurité devraient elles-mêmes évoluer dans les prochaines années : les couches de
protection de périmètre et de détection d'intrusion - devenant, au bout du compte, irréalisables à mesure que les
entreprises multiplient les transactions et les communications électroniques – évolueront grâce à l'acquisition de
nouveaux outils plus performants visant à prévenir les attaques et à favoriser une réaction plus rapide face aux
menaces qui surviennent réellement. Au final, les services et les équipements de sécurité se rapprocheront du Saint
Graal, grâce au contrôle et à l'exécution automatiques de tâches.
Dans ce second livre blanc, issu d'une collection de quatre ouvrages rédigés par AT&T en collaboration avec The
Economist Intelligence Unit et portant sur le futur des réseaux d'entreprise, nous analysons les principaux aspects
de la sécurité réseau et les challenges qui y sont associés. The Economist Intelligence Unit a mené l'enquête, à
travers une série d'interviews d'analystes et de dirigeants d'entreprise. Les prochains livres blancs seront consacrés
au travail à distance et à la voix sur IP (VoIP).
AT&T Point of View / Sécurité Réseau - 07/2004
1
point _of_view
La situation se complique…
Les promesses liées à l'entreprise en réseau sont encore nombreuses : la plupart des professionnels pensent
que la structure ouverte et flexible qui caractérise ce modèle contribuera à améliorer encore la productivité,
l'efficacité et la rentabilité. Pour matérialiser leur potentiel, les réseaux doivent cependant être mieux sécurisés.
Mais la réalité montre qu'ils le sont de moins en moins. Les résultats de l'enquête sur le futur des réseaux
d'entreprise réalisée par AT&T et The Economist Intelligence Unit auprès de 254 dirigeants et cadres issus
d'entreprises du monde entier, montrent que 78% des personnes interrogées considèrent la sécurité
informatique comme la première priorité stratégique de leur entreprise, alors qu'ils la plaçaient en seconde
position dans l'enquête de 2003.
Les leçons qui nous ont amenés à ce constat ne pouvaient être plus cruelles. Des chiffres fiables sont difficiles
à obtenir, et pas seulement parce que les entreprises ne souhaitent pas mettre leur réputation en danger en
révélant l'existence de failles de sécurité. Mais de nombreuses preuves démontrent que toutes sortes de
crimes sont perpétrées et que les attaques par virus, vers et déni de service mettent en danger et ralentissent
les communications électroniques.
L'année dernière fut peut être la plus destructrice en matière d'attaques émanant d'Internet (telles que des
virus ou des vers). En 2003, le cabinet de conseil Computer Economics a évalué les pertes mondiales
engendrées par ce type d'attaques à 13 milliards de dollars. Le Centre de coordination du CERT de
l'Université de Carnegie Mellon signale quant à lui que le nombre d'incidents de sécurité et d'attaques
pouvant impliquer un ou des milliers de sites, a augmenté de 68% de 2003 à 2004.
Non seulement, les attaques sont de plus en plus fréquentes, mais elles provoquent plus de dégâts et sont
plus sophistiquées. « De plus en plus d'attaques s'appuient sur plusieurs techniques pour se répandre, comme par
exemple le recours à des codes malicieux, associé à la capacité d'exploiter les vulnérabilités des logiciels » déclare
Ed Amoroso, Responsable de la sécurité informatique chez AT&T. « Ces menaces combinées peuvent
endommager de manière plus profonde encore de très nombreux réseaux et utilisateurs, dans un délai très court. »
Plus grave encore, les menaces surviennent toujours plus rapidement. Il y a quelques années, il fallait environ
un an à l'auteur d'un virus pour exploiter une vulnérabilité révélée par un éditeur de logiciel. L'année dernière
l'intervalle entre l'annonce d'une faille logicielle et la première attaque s'est considérablement restreint. Ed
Amoroso note qu'en 2003 alors que le ver MSBlast est apparu 25 jours après le lancement d'un patch de
sécurité sensé résoudre le problème, cette année le ver Sasser est apparu seulement 18 jours après l'annonce
de la vulnérabilité qu'il exploite.
Il est fort probable que cette vitesse d'exploitation continuera de s'accélérer, peut être même jusqu'au jour où
les menaces exploiteront des vulnérabilités non annoncées. Connue comme la menace « jour zéro », un tel
événement pourrait causer des dommages énormes avant même que les éditeurs de logiciels ne publient des
correctifs et ne les diffusent auprès des utilisateurs. Si seulement les logiciels étaient mieux sécurisés…
« Malheureusement, la sécurité devrait être intégrée dans le logiciel depuis le départ, car les patches ne forment -
2
point _of_view
comme leur nom l'indique - que des rustines » précise Norma Schroder, Directrice de recherche chez Gartner
Dataquest.
Pour se protéger contre les attaques, la plupart des entreprises s'appuient sur des pare-feu - dispositifs
permettant de bloquer les codes malicieux hors des réseaux internes - et sur des systèmes de détection
d'intrusion, qui analysent les trafics transitant par les pare-feu. « Même si ces technologies fonctionnent jusqu'à un
certain point, de nouveaux systèmes de sécurité se concentrant plus sur la prévention et l'automatisation des
réactions en cas d'attaque sont nécessaires d' urgence » ajoute Mme Schroder.
137529
2003
3784
82094
2002
4129
52658
2001
2437
21756
2000
Incidents signalés
1090
Vulnérabilités signalés
9859
1999
417
3734
1998
262
0
20
40
60
80
100
120
140
Des incidents de sécurité et des vulnérabilités logicielles (x1000)
Source : Centre de co-ordination du CERT®, Université Carnegie Mellon
1
… et les dépenses des entreprises augmentent
La multiplication des cyber-menaces et l'accroissement des vulnérabilités se traduisent par l'augmentation des coûts. A
tel point que la croissance des dépenses de sécurité réseau est plus rapide que celle de l'ensemble du budget
informatique. Selon une étude récente de Smith Barney de Citigroup, la sécurité se place désormais au second rang
des priorités budgétaires des entreprises, derrière les applications, et les Directeurs informatiques prévoient d'imputer
2
13,7 % de leurs nouveaux budgets à la sécurité . Gartner estime que la totalité de la dépense mondiale en matière
de sécurité augmentera en moyenne chaque année de 17,6% d'ici à 2006, alors que les investissements dans
l'infrastructure - pare-feu, outils antivirus - s'élèveront de 22%. La dépense globale informatique augmentera
également, mais beaucoup moins rapidement :The Economist Intelligence Unit évalue cette croissance à 4 ou 5 % en
2004.
3
1
Statistiques 1988-2003 CERT/CC, Centre de co-ordination du CERT®, Carnegie Mellon University, janvier 2004. Note : un incident est une attaque de
sécurité signalée pouvant impliquer un ou des milliers de sites. Une vulnérabilité est une faille identifiée dans un programme logiciel, faisant généralement
l'objet de la publication d'un correctif par l'éditeur responsable, afin de corriger les erreurs pouvant permettre à l'attaque de se développer.
2
3
Software Industry Note: March 2004 macro trends survey, Smith Barney, Citigroup Global Markets
World telecoms and technology outlook,The Economist Intelligence Unit, mars 2004
3
point _of_view
2006
21.6
2005
18.6
2004
CAGR
17.6%
15.8
2003
13.3
0
2
4
6
8
10
12
14
16
18
20
22
Prévision : dépense mondiale en matière de sécurité (milliards de $)
Source: Gartner Dataquest (includes hardware, software and services)
Les dirigeants couverts par notre enquête conviennent que les investissements dans le domaine de la sécurité
augmentent. En moyenne en 2002, leurs entreprises consacraient 9% de leur budget informatique à la
sécurité. Ce chiffre est passé à 11% l'année dernière et pourrait atteindre 13% en 2004, selon les estimations.
En outre, les personnes interrogées révèlent l'existence d'un lien étroit entre les objectifs technologiques de
leurs entreprises et les vulnérabilités de leurs systèmes d'information. « Les entreprises développent des projets
qui les rendent vulnérables » déclare Chris Byrne, vice-Président et Directeur des services, Meta Group, cabinet
de conseil international.
Parmi les objectifs technologiques suivants, lesquels ont été adoptés par votre
entreprise? Evaluez la vulnérabilité ainsi engendrée vis à vis des failles de sécurité
électronique.
Source : Enquête AT&T/ The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004
Alors que la majorité des personnes couvertes par notre enquête considère que l'accroissement des menaces
de sécurité est le principal facteur d'augmentation des dépenses consacrées à la sécurité, cette analyse paraît
4
point _of_view
quelque peu simpliste pour de nombreux experts. Graham Titterington, analyste en chef chez Ovum, cabinet
d'analyse international, pense que les propositions de dépense en matière de sécurité s'apparentent trop
souvent à une police d'assurance contre des risques inconnus. Cependant, « les Comités de direction sont
généralement moins réceptifs lorsque les alertes urgentes concernent la sécurité » précise M.Titterington.
« L'argument le plus à même de les convaincre d'investir dans la sécurité réside dans l'intégration de nouveaux
processus et de nouveaux outils technologiques qui les aideront à développer leurs activités. »
Les Directeurs informatiques réalistes commencent à analyser la valeur des investissements en sécurité sous
d'autres perspectives, telles que la réduction des coûts et l'accroissement de la productivité. « Nos
investissements en matière de sécurité répondent réellement à la nécessité d'améliorer l'efficacité et l'accès, et
prennent en compte les demandes de nos clients » commente Mark Whittle, Directeur de la communication
chez Allied Domecq PLC, géant mondial des alcools et des vins. Pour justifier ses investissements en matière
de sécurité, M. Whittle s'est appuyé sur un modèle d'investissement échelonné sur trois ans, tenant compte du
retour sur investissement. « Je veux savoir si la valeur créée est suffisante pour justifier l'investissement » poursuit
M. Whittle. « Si vous ne procédez pas à ce type d'analyse, vous ne rendez pas service à l'entreprise pour qui vous
travaillez. »
La sécurité est-elle un facteur de développement ? Certains exemples montrent dans quelle mesure elle
contribue à consolider et à réduire les coûts :
• Provisioning automatisé - offre des économies en matière d'administration et réduit les délais, ce
qui améliore la productivité des équipes
• Authentification unique (Single Sign On) - facilite l'utilisation des processus
• Réseaux privés virtuels - remplace les lignes louées onéreuses
• Filtrage des contenus (e-mails et navigation web) - limite les pertes de temps
Du fait d'intérêts parfois contraires liés au changement et à la sécurité, il n'est pas surprenant de voir les
responsables de la sécurité lutter avec les autres dirigeants en matière d'innovation. Pour rompre avec ce
modèle, Allied Domecq a crée un 'Global Governance Board' visant à gérer la validation de tous les projets
majeurs. Ce groupe, incluant le Directeur informatique et d'autres hauts dirigeants de l'entreprise, a pour
responsabilité de s'assurer que toute proposition de projet identifie des solutions technologiques, ainsi que les
risques associés directs plutôt qu'indirects. « Ceci signifie que lorsque qu'une vaste campagne Marketing repose
sur la capacité à déplacer d'importants volumes de données, le plan original d'approbation inclut un plan
technologique, une évaluation des risques et des engagements sur les niveaux de service garantissant les
performances » précise M. Whittle. « Le groupe décide alors si les revenus potentiels justifient le risque et les coûts
de protection associés. »
5
point _of_view
La prévention avant la réaction
Alors que de nombreux fournisseurs offrent aujourd'hui des services de sécurité gérés ciblant des attaques
ayant déjà affecté le réseau d'une entreprise, l'industrie de la sécurité se démène pour trouver de nouveaux
moyens empêchant ces attaques de survenir pour la première fois. Lancé en mars 2004, AT&T Internet
Protect est conçu pour alerter les entreprises de l'existence de menaces potentielles, avant que celles-ci ne se
transforment en attaques à grande échelle. AT&T prévient ses clients quelques minutes après avoir identifié
une activité malveillante (telle qu'une attaque par déni de service) et leur recommande aussitôt les actions à
mettre en œuvre immédiatement.
Les fonctionnalités de prévision et d'atténuation des préjudices d'AT&T Internet Protect sont encapsulées
dans le réseau IP global de la société. La technologie qui est à la base d'Internet Protect a été développée par
AT&T Labs ces dernières années, dans le but de protéger le propre réseau d'AT&T. Elle vise à rechercher les
menaces de manière proactive, puis à les détruire avant qu'elles ne se transforment en véritable attaque
portée contre le réseau. « En surveillant en temps réel la totalité du trafic Web de notre réseau et en s'appuyant
sur des modèles heuristiques et statistiques pour étudier les anomalies identifiées dans le trafic, nous sommes
capables d'identifier et de localiser des vers, des virus, des attaques par déni de service ou toute autre activité
malveillante, et ce avant que les performances du réseau ne soient affectées » témoigne Ed Amoroso d'AT&T.
« Les alertes proactives d'AT&T Internet Protect permettent à nos clients d'agir avant que le dommage ne soit
irrémédiable. »
Dr Amoroso prévoit que la responsabilité en matière de sécurité sera transférée peu à peu vers le réseau luimême. « Le réseau est l'instrument frontal de sécurité le plus naturel et le plus efficace. Il est capable de détecter
et de prévenir les attaques beaucoup plus efficacement que toute combinaison de solutions web d'extrémité mises
bout à bout ».
Des menaces à provenance insoupçonnée
Parmi les très nombreuses menaces auxquelles sont confrontés les dirigeants couverts par notre enquête, les
virus et les vers sont les plus répandues. Pourtant, certains professionnels ne soupçonnent même pas
l'existence d'autres types de danger. « L'espionnage par la concurrence est probablement une menace plus
importante que les virus et les vers » affirme M. Byrnes de META Group. « Les gens n'en parlent pas et tendent
même à éluder le débat au sein de leur entreprise ». M. Byrnes a pourtant vu de nombreux lancements de
produits paralysés du fait de la perte des plans d'ingénierie et de commercialisation au profit de sociétés
concurrentes. « Les gens n'y pensent pas, jusqu'au moment où ils le vivent eux-mêmes. Et même dans cette
situation, ils pensent être les seuls dans ce cas. »
6
point _of_view
Selon vous, quelles sont les trois plus importantes menaces de sécurité électronique pour
votre entreprise aujourd'hui et dans les deux ans qui viennent ?
92
Virus et vers
87
50
Hackers
53
40
Dommage accidentel
33
36
Spam
2004
2006
31
27
25
Sabotage interne
19
Pannes d’électricité
14
17
19
Attaques par déni de service
12
Espionnage par la concurrence
17
9
Attaques terroristes
15
8
8
Catastrophes naturelles
1
2
Autre
0
20
40
60
80
100
Taux de réponse (%)
Source : Enquête AT&T/The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004
Il apparaît que la plus grande vulnérabilité réside dans l'élément humain. Les personnes interrogées pensent
que 83% des attaques proviennent de l'intérieur même de l'entreprise - sabotage interne, espionnage ou
erreurs accidentelles. Mais il est étonnant de constater que 78% des personnes interrogées admettent avoir
ouvert au cours de l'année une pièce jointe à un e-mail provenant d'une personne inconnue. « Les attaques
externes recueillent toute l'attention, mais les brèches internes, à la fois criminelles et accidentelles, sont plus
fréquentes » précise Rick Cudworth, responsable de la sécurité et de la continuité chez KPMG UK. « Même si
le personnel a tendance à croire que cela ne lui arrivera pas, les entreprises doivent garder à l'esprit que les
attaques existent réellement. »
7
point _of_view
Combien d'erreurs présentées dans la liste suivante avez-vous commises au cours de
l'année dernière ?
Ouvrir la pièce jointe d’un e-mail provenant
de quelqu’un que vous ne connaissez pas
78
Choisir votre propre nom ou date de
naissance comme mot de passé « sécurisé
» d’accès au réseau de votre entreprise
29
Accéder au réseau de votre société depuis
un lieu public et sans pouvoir quitter
17
Partager de manière informelle le mot de
passe d’accès au réseau de la société avec
une personne extérieure
9
0
10
20
30
40
50
60
70
80
90
Ces résultats ne surprennent pas Thierry van Herwijnen, Directeur Marketing EMEA en charge de la sécurité
chez Cisco Systems : « Nous tentons d'informer les dirigeants et les employés des entreprises avec lesquelles nous
collaborons, mais il est très difficile de les faire évoluer » témoigne-t-il. L'un des moyens d'aider les employés est
de développer des pratiques d'entreprise, telles que des règles d'utilisation acceptables. Cisco par exemple,
interdit à ses employés d'utiliser leurs propres pare-feu pour accéder au réseau de la société. « Si vous ne dites
pas ce qui est mal, comment espérer stimuler le bon comportement ? » s'interroge M. van Herwijnen.
« Il s'agit de développer de véritables campagnes Marketing, pour tenter de modifier le comportement des
employés et des dirigeants. »
Des services gérés de sécurité
La plupart des entreprises n'ont souvent pas la capacité de gérer ces menaces de sécurité dont l'ampleur et la
fréquence ne cessent de s'accroître. Elle ne disposent pas non plus des compétences nécessaires pour en
atténuer les effets. Dans ce contexte, une tendance consistant à déléguer une partie du travail à un fournisseur
de services gérés de sécurité, se développe rapidement, du moins dans les petites entreprises. 32% des
personnes interrogées utilisent déjà ou prévoient d'utiliser dans les deux ans qui viennent des services gérés
de sécurité. 14% pensent y recourir à long terme. Cependant, 70% de ces sociétés sont des PME. « Les
grandes entreprises se montrent réticentes à l'idée d'ouvrir leur réseau et leurs données à des fournisseurs de
services externes » déclare M. Cudworth de KPMG. « Psychologiquement, le saut reste énorme. Il est difficile de
placer les actifs et les informations stratégiques d'une entreprise entre les mains d'autres personnes. »
8
point _of_view
Mais les services gérés permettent toutefois à de nombreuses entreprises de bénéficier des compétences et
de la protection d'une société spécialisée dans la sécurité informatique. « Des compétences pointues,
notamment dans le domaine de la sécurité, sont difficiles à trouver en interne » ajoute M. Whittle d'Allied
Domecq. « Nous ne sommes pas des spécialistes du réseau et, en aucun cas, d'éventuelles économies d'échelle ou
compétences stratégiques ne sauraient justifier la construction immédiate d'une équipe de supervision. »
M. Whittle vient d'ailleurs de fusionner ses services mondiaux informatiques et de télécommunication, dans un
but de simplification, de consolidation, de rationalisation, de standardisation et pour rendre au final
l'informatique plus facile à administrer. « Cette simplification nous a en outre permis de renforcer notre pouvoir de
négociation auprès de fournisseurs de confiance moins nombreux. Nous sommes ainsi parvenus à réduire encore
nos coûts » explique M. Whittle.
Faites vous appel ou prévoyez-vous de faire appel à un fournisseur de services gérés de
sécurité ?
Ne sait pas (20%)
Utilise aujourd’hui les services gérés
de sécurité d’un fournisseur externe (22%)
Prévoit d’y recourir dans
les deux ans qui viennent (10%)
Ne prévoit pas d’y recourir
(35%)
Prévoit d’y recourir à long terme (14%)
Qui gère le risque ?
L'externalisation de la sécurité du réseau auprès de fournisseurs externes n'est pas le seul facteur contribuant
à l'abandon des pratiques conventionnelles, mises à mal par la multiplication des menaces de sécurité. Notre
enquête met en relief deux évolutions significatives des modes de management : dans certaines entreprises, le
CEO tient un rôle de plus en plus déterminant dans le développement de règles de sécurité réseau, pendant
que d'autres voient émerger un nouveau poste : le responsable de la sécurité informatique (Chief information
security officer, CISO). « Pour toute entreprise, il est virtuellement impossible de garantir la sécurisation des ressources
sans confier le dossier à un responsable » déclare Dr Amoroso d'AT&T. « Il est temps que les conseils
d'administration prennent conscience qu'un responsable de la sécurité informatique est aussi important qu'un
contrôleur de gestion ». Même si, selon Mme Schroder de Gartner, cette prise de conscience commence à se
généraliser, 1/3 seulement des grandes entreprises américaines ont créé ce type de poste.
9
point _of_view
Qui assume les décisions, en matière de règle de sécurité électronique dans votre
entreprise ?
Directeurs régionaux
ou de business unit (2%)
Fournisseur de services
gérés de sécurité (3%)
Autre (3%)
CEO (24%)
Responsable
des systèmes
d’information
(27%)
Directeur financier (5%)
Responsable de la sécurité
(10%)
Directeur informatique (25%)
Du fait de la multiplication des menaces mettant en péril la continuité opérationnelle des entreprises et d'une
exigence légale accrue en matière de transparence, les dirigeants et membres du conseil d'administration euxmêmes commencent à s'intéresser au risque. « Les membres du conseil d'administration veulent savoir non
seulement si les entreprises se protègent contre les incidents de sécurité informatique, mais également comment…
ce qui est une bonne chose » affirme Laura Koetzle, Analyste chez Forrester Research. « Mais nombreux sont
ceux qui choisissent encore la méthode expéditive. Ils s'attachent les services de consultants qui mettront en œuvre
des 'gadgets' technologiques, sans décider en premier lieu quels risques majeurs de sécurité prendre en compte en
priorité. »
Identifier et attribuer une valeur à ce risque, puis fixer des niveaux de responsabilités raisonnables forment les
premières étapes incontournables d'un plan de sécurité. « Les entreprises commencent à hésiter lorsque les
risques excèdent leur réelle capacité à les assumer - c'est également vrai pour les risques de sécurité informatique,
qu'ils soient capitalistiques ou réglementaires » ajoute Mme Koetzle.
M. Byrnes du META Group prévoit qu'en 2005, l'accroissement de la maturité des programmes de sécurité,
ainsi que la pression des auditeurs et l'obligation de conformité légale accélèreront l'intégration de la sécurité
au sein d'une fonction dédiée à la gestion du risque et à la conformité, à l'échelle de l'ensemble de
l'entreprise. « Les entreprises nommeront de plus en plus fréquemment des responsables du risque » prédit
10
point _of_view
M. Byrnes. « Ceux-ci gèreront l'ensemble des problématiques réglementaires et analytiques liées au risque, telles que
la conformité, la sécurité informatique, la continuité opérationnelle et les plans de relève. »
Le champ de la gestion du risque institutionnel
Finance :
Entreprise :
Informatique :
Investissement
Marché
Sécurité des informations
Fraude
Concurrence
Incident
Gestion
Continuité
Projet
Physique
Conformité
Personnel
Plan de relève
International
Respect de la vie privée
International
Source: Meta Group
Comme dans pratiquement tous les modèles d'organisation, les défis liés à l'émergence de ce nouveau rôle
impliqueront une gestion trans-départementale ou un partage des responsabilités au-delà des frontières de
l'organisation. « Un responsable du risque ne doit pas nécessairement disposer d'une connaissance profonde de
l'informatique, mais il doit être capable de comprendre les problèmes technologiques et de gestion d'entreprise »
précise M.Titterington, d'Ovum. « Au fond, il doit savoir bien communiquer à travers l'entreprise, objectivement et
quantitativement. »
Dans les entreprises aujourd'hui, le respect de la vie privée, la sécurité des informations, la continuité et la
conformité sont des domaines ne s'appuyant que rarement sur des processus définis et présentant de faibles
niveaux de maturité, en termes de gestion du risque. « L'adoption d'un mode d'organisation reposant sur la
gestion du risque démontrera que la sécurité offre un réel service aux entreprises, qu'elle est adaptée aux
spécificités de ces dernières et qu'elle gagne en maturité » ajoute M. Byrnes.
La chose la plus difficile n'est pas de mettre en place une telle structure organisationnelle. Le secret réside
dans le processus de décision qui est issu de l'analyse du risque. « Les deux principales questions sont : quelle
valeur donnez-vous à vos actifs ? et quel est le coût raisonnable de la prévention ? » interroge M. Whittle chez
Allied Domecq. « Chaque entreprise doit trouver son propre équilibre. »
11
point _of_view
Catégories de produits et services de sécurité
Protection d'extrémité
Antivirus
Filtrage de contenus
Systèmes de détection d'intrusion
Systèmes de protection contre les intrusions
Pare-feu réseau
Sécurité de plate-forme
Pare-feu pour applications
Annuaire
Cryptage des données stockées
Plate-forme d'exécution sécurisée
Sécurisation des communications
Cryptage des communications
PKI
Livraison garantie (Reliable Messaging)
Intégrité transactionnelle
Réseau privé virtuel
Administration de la sécurité
Audit et analyse
Administration des règles
Evaluation de la sécurité
Gestion des versions, des configurations et patchs
Gestion des utilisateurs
Contrôle d'accès
Authentification
Fédération
Identification
Provisioning
Source: Ovum
12
point _of_view
Appendice : résultats de l'enquête menée par AT&T et The Economist
Intelligence Unit (EIU)
254 dirigeants d'entreprises issues du monde entier ont participé à une enquête en ligne, portant sur le
réseau et les stratégies d'entreprise. La rédaction de ce livre blanc a été basée sur leurs réponses. Nous
tenions à remercier toute personne ayant participé.
Performance réseau
Quels sont les principaux défis que votre réseau devra relever dans les deux années qui viennent,
pour atteindre les objectifs de votre entreprise ? Notez chaque défi de 1 à 4, 1 représentant un
défi critique, 2 un défi important, 3 un défi d'importance mineure et 4 un défi sans importance.
18
Besoin d’intégrer de plus nombreux
points d’accès dans le monde
46
25
12
29
Besoin de prendre en charge de plus
importants volumes de trafic données
55
15
0
33
49
Besoin de transmettre plus rapidement
les données
17
1
21
Besoin d’une continuité opérationnelle
24/7 "follow-the-sun"
36
29
13
40
Besoin de garantir des niveaux
supérieurs de fiabilité et de disponibilité
46
13
2
16
Besoin de prendre en charge
efficacement les pics de demande
spécifique
51
29
4
21
Besoin de mieux utiliser
la capacité de calcul
40
34
5
43
Besoin de partager aisément et de manière
sécurisé des informations avec les
partenaires et clients
39
15
3
28
Besoin de partager aisément et de
manière sécurisée des applications avec
les partenaires et clients
38
29
5
36
Besoin d’accroître l’efficacité via
l’intégration de multiples systèmes et
applications
39
20
5
12
Besoin d’identifier différents types de
trafics données et de hiérarchiser leur
transmission
39
40
9
16
Besoin de disposer de services voix et
données intégrés pour le CRM ou
d’autres applications
Critique
Important
Mineur
Pas important
29
37
18
17
Besoin d’envoyer et de recevoir des
contenus multimédia
38
36
9
56
Besoin de garantir une
meilleure sécurité réseau
33
10
2
5
23
Autre
28
44
0
10
20
30
40
50
60
13
point _of_view
Parmi les attributs de performance réseau suivants, lesquels sont les plus critiques pour
votre entreprise ? Notez-les de 1 à 4, 1 : critique, 2 : important, 3 : peu important, 4 : pas
important.
78
19
Sécurité
3
0
70
27
Disponibilité/indisponibilité réseau
3
0
58
40
Fiabilité des connexions
2
0
40
54
Vitesse du réseau
6
0
37
Accessibilité (c’est à dire : accès à la totalité
des applications réseau depuis l’extérieur
de l’entreprise)
44
15
3
25
Intelligence (c’est à dire : la capacité d’"autorétablissement" du réseau, avec fonctions
automatiques de restauration et de re-routage)
46
23
6
24
50
Efficacité / utilisation de la capacité
24
2
23
44
Architecture ouverte, basées sur des standards
28
5
21
Réactivité (c’est à dire : la capacité de transmettre
en priorité les données les plus urgentes ou de
prendre en charge des pics de demande)
Critique
Important
Peu important
Pas important
47
25
7
20
48
Couverture (nombre d’extrémités)
27
4
14
61
Evolutivité
22
3
7
24
Autre
19
50
0
10
20
30
40
50
60
70
80
14
point _of_view
Parmi les éléments suivants, quels objectifs technologiques poursuit votre entreprise ?
Choisissez plusieurs réponses le cas échéant.
Sécurité réseau
Evaluez la vulnérabilité des entreprises vis-à-vis de brèches de sécurité électronique
provoquées par les attributs suivants ?
33
Données client stockées, analysées et
exploitées par voie électronique
49
18
20
Produits et services commandés et/ou
distribués par voie électronique
57
22
24
Accès en temps réel aux données de la
chaîne logistique pour les partenaires
et les fournisseurs
49
Extrêmement vulnérable
Vulnérable
Pas vulnérable
27
49
Données financières clients
stockées en ligne
32
19
30
Accès complet au réseau et aux applications
réseau pour les travailleurs distants
56
14
8
Processus “follow-the-sun” permettant
une continuité opérationnelle 24/7
48
44
12
Plus de services self-service
offerts en ligne aux clients
54
34
31
Données financières et opérationnelles
de lÕentreprise accessibles en ligne et
virtuellement en temps réel par la Direction
48
21
0
10
20
30
40
50
60
15
point _of_view
Quelles sont, selon vous, les trois principales menaces de sécurité auxquelles est confrontée
votre entreprise aujourd'hui ?
92
Virus et vers
87
50
Hackers
53
40
Dommage accidentel
33
36
Spam
2004
2006
31
27
25
Sabotage interne
19
Pannes d’électricité
14
17
19
12
Espionnage par la concurrence
17
9
15
8
8
1
2
Autre
0
20
40
60
80
100
Selon vous, quels seront les trois principaux risques pour votre entreprise dans deux ans ?
Virus et vers
87
Hackers
53
Dommage accidentel
33
Spam
31
Sabotage interne
25
19
Espionnage de la concurrence
17
15
Pannes de courant
14
8
Autre
2
0
20
40
60
80
100
16
point _of_view
Quel pourcentage de votre budget informatique consacriez-vous/consacrez-vous à la
sécurité des données ?
2002
9
2003
11
2004
13
0
1
2
3
4
6
5
7
8
9
10
11
12
13
14
15
Parmi les facteurs ci-dessous, quels sont les plus déterminants dans la décision de mettre
en œuvre de nouvelles solutions de sécurité dans votre entreprise ? Notez de 1 à 4, 1 :
Critique, 2 : important, 3 : peu important, 4 : pas important :
35
L’augmentation des menaces
de sécurité réelles
53
10
2
19
43
La nécessité d’une disponibilité 24x7
30
8
23
Le développement de nouvelles
technologies de sécurité plus performantes
57
19
2
20
L’accroissement des obligations
réglementaires et légales
Critique
Important
Peu important
Pas important
46
29
5
29
Les demandes accrues des employés en
faveur d’un accès facilité aux données
49
20
2
24
45
Les demandes accrues des clients en
faveur d’un accès facilité aux données
23
9
29
47
Intégration des applications dans les
bases de données d’entreprise
17
7
0
10
20
30
40
50
60
17
point _of_view
Quel est selon vous, le pourcentage d'attaques de sécurité réseau initié depuis l'intérieur et
l'extérieur de votre entreprise ? (228 personnes ont répondu à cette question).
Ne sait pas (4%)
De l’extérieur (13%)
De l’intérieur (83%)
Qui prend les décisions en matière de politique de sécurité électronique dans votre
entreprise ?
Directeurs régionaux
ou de business unit (2%)
Fournisseur de services
gérés de sécurité (3%)
Autre (3%)
CEO (24%)
Responsable
des systèmes
d’information
(27%)
Directeur financier (5%)
Responsable de la sécurité
(10%)
Directeur informatique (25%)
18
point _of_view
Faites-vous appel, ou prévoyez-vous de faire appel à un fournisseur de services gérés de
sécurité?
Utilise aujourd’hui les services gérés
de sécurité d’un fournisseur externe (22%)
Ne sait pas (20%)
Prévoit d’y recourir dans
les deux ans qui viennent (10%)
Prévoit d’y recourir à long terme (14%)
Ne prévoit pas d’y recourir
(35%)
Combien d'erreurs présentées dans la liste suivante avez-vous commises au cours de
l'année dernière ? Cochez les réponses choisies.
Ouvrir la pièce jointe d’un e-mail provenant
de quelqu’un que vous ne connaissez pas
78
Choisir votre propre nom ou date de
naissance comme mot de passé « sécurisé
» d’accès au réseau de votre entreprise
29
Accéder au réseau de votre société depuis
un lieu public et sans pouvoir quitter
17
Partager de manière informelle le mot de
passe d’accès au réseau de la société avec
une personne extérieure
9
0
10
20
30
40
50
60
70
80
90
19
point _of_view
Renseignements sur les participants
Zone géographique
Moyen Orient / Afrique
(3%)
Amérique Latine (8%)
Autre
(1%)
Europe (40%)
Asie-Pacifique
(21%)
Amérique du Nord (27%)
Fonction
Autre (8%)
Membre du Conseil d’administration
(6%)
CEO/Directeur des opérations/Président/
Directeur général (30%)
Directeur (33%)
Directeur financier/Trésorier/Contrôleur de gestion (3%)
SVP/VP (15%)
Directeur informatique/Directeur Technologique
(5%)
20
point _of_view
Metier
Secteur d'activité
Agriculture et agroalimentaire (0%)
Autre
(6%)
Transport, voyages et tourisme
(8%)
Automobile (2%)
Chimie (2%)
Construction et immobilier (2%)
Biens de consommation (4%)
Education (2%)
Télécoms (4%)
Energie et ressources naturelles (6%)
Technologie (4%)
Loisirs, média et édition (2%)
Distribution (2%)
Services financiers (hors assurances)
(15%)
Services Professionnels
(15%)
Etat/Secteur public (2%)
Santé, pharmacie et biotechnologie (5%)
Fabrication
(biens durables et équipements)
(11%)
Assurances (2%)
Services informatiques
(7%)
21
point _of_view
Chiffre d'affaires annuel (dollars US, 2001)
Ne se prononcent pas (7%)
8 milliards de $ ou plus
(11%)
500 millions de $ ou moins
(61%)
De 3 à 8 milliards de $
(4%)
de 1 à 3 milliards de $
(8%)
De 500 millions de $
à 1 Milliard $
(9%)
22
Pour plus d'informations sur les solutions sécurité d'AT&T, contactez
votre interlocuteur AT&T ou consultez notre portail sécurité sur
www.att.com/emea/securityportal
www.att.com/emea
© 2004 AT&T. All Rights Reserved.
ATT-WP-002-FR
07/2004

sécurité_réseau

Transcription

Documents pareils

Imprimer - Emotion real estate

METHODOLOGIE : le sujet argumentatif ou ESSAY au bac Vous

Séminaire CyberSécurité 2015

CONTRAT DE LOCATION SAISONNIERE francais

Thierry Hanon-Degroote

Title: DFX Audio Enhancer for RealPlayer (version

Ouvrir un calendrier partagé dans Outlook Web Access

Communiqué du Sharp paris et plus généralement des skinheads