sécurité_réseau
Transcription
sécurité_réseau
point _of _view sécurité_réseau Sécurité réseau: gérer les risques et les opportunités Une enquête et un livre blanc réalisés par AT&T en collaboration avec The Economist Intelligence Unit point _of_view Synthèse La sécurité est aujourd'hui considérée comme la principale caractéristique critique des réseaux d'entreprise. Ce constat forme l'une des conclusions de la seconde enquête annuelle portant sur les réseaux et les stratégies d'entreprise, réalisée par The Economist Intelligence Unit pour le compte d'AT&T. Et il n'est pas vraiment surprenant, du fait de la multiplication sans précédent de brèches significatives de sécurité au cours de l'année passée. Alors que le thème de la sécurité préoccupe les entreprises, la grande majorité des dirigeants ayant participé à notre enquête souhaite pourtant ouvrir encore plus leurs réseaux à leurs partenaires, clients et collaborateurs mobiles. Mais à leur grand dépit, cette ouverture contribue à la création de vulnérabilités supplémentaires. A moins de mettre en œuvre des règles et des pratiques de sécurité pour assurer la protection de leur réseau, les dirigeants ont probablement raison de penser que les attaques de sécurité forment la plus importante menace pouvant entraver le développement soutenu de l'entreprise en réseau. Certains dirigeants considèrent que garantir la sécurité et la fiabilité tout en externalisant simultanément la gestion de leurs réseaux, représente seulement une dépense supplémentaire dans le budget informatique. Ce raisonnement semble hâtif. Investir dans la sécurité informatique devrait au minimum être considéré comme un moyen de multiplier les accès à leurs réseaux de manière efficace et sécurisée, afin de répondre à leurs besoins stratégiques. Chez de nombreuses entreprises, maximiser la sécurité et l'accès des différentes populations concernées commence à être perçu comme un facteur essentiel de succès. Les dépenses en matière de sécurité devraient elles-mêmes évoluer dans les prochaines années : les couches de protection de périmètre et de détection d'intrusion - devenant, au bout du compte, irréalisables à mesure que les entreprises multiplient les transactions et les communications électroniques – évolueront grâce à l'acquisition de nouveaux outils plus performants visant à prévenir les attaques et à favoriser une réaction plus rapide face aux menaces qui surviennent réellement. Au final, les services et les équipements de sécurité se rapprocheront du Saint Graal, grâce au contrôle et à l'exécution automatiques de tâches. Dans ce second livre blanc, issu d'une collection de quatre ouvrages rédigés par AT&T en collaboration avec The Economist Intelligence Unit et portant sur le futur des réseaux d'entreprise, nous analysons les principaux aspects de la sécurité réseau et les challenges qui y sont associés. The Economist Intelligence Unit a mené l'enquête, à travers une série d'interviews d'analystes et de dirigeants d'entreprise. Les prochains livres blancs seront consacrés au travail à distance et à la voix sur IP (VoIP). AT&T Point of View / Sécurité Réseau - 07/2004 1 point _of_view La situation se complique… Les promesses liées à l'entreprise en réseau sont encore nombreuses : la plupart des professionnels pensent que la structure ouverte et flexible qui caractérise ce modèle contribuera à améliorer encore la productivité, l'efficacité et la rentabilité. Pour matérialiser leur potentiel, les réseaux doivent cependant être mieux sécurisés. Mais la réalité montre qu'ils le sont de moins en moins. Les résultats de l'enquête sur le futur des réseaux d'entreprise réalisée par AT&T et The Economist Intelligence Unit auprès de 254 dirigeants et cadres issus d'entreprises du monde entier, montrent que 78% des personnes interrogées considèrent la sécurité informatique comme la première priorité stratégique de leur entreprise, alors qu'ils la plaçaient en seconde position dans l'enquête de 2003. Les leçons qui nous ont amenés à ce constat ne pouvaient être plus cruelles. Des chiffres fiables sont difficiles à obtenir, et pas seulement parce que les entreprises ne souhaitent pas mettre leur réputation en danger en révélant l'existence de failles de sécurité. Mais de nombreuses preuves démontrent que toutes sortes de crimes sont perpétrées et que les attaques par virus, vers et déni de service mettent en danger et ralentissent les communications électroniques. L'année dernière fut peut être la plus destructrice en matière d'attaques émanant d'Internet (telles que des virus ou des vers). En 2003, le cabinet de conseil Computer Economics a évalué les pertes mondiales engendrées par ce type d'attaques à 13 milliards de dollars. Le Centre de coordination du CERT de l'Université de Carnegie Mellon signale quant à lui que le nombre d'incidents de sécurité et d'attaques pouvant impliquer un ou des milliers de sites, a augmenté de 68% de 2003 à 2004. Non seulement, les attaques sont de plus en plus fréquentes, mais elles provoquent plus de dégâts et sont plus sophistiquées. « De plus en plus d'attaques s'appuient sur plusieurs techniques pour se répandre, comme par exemple le recours à des codes malicieux, associé à la capacité d'exploiter les vulnérabilités des logiciels » déclare Ed Amoroso, Responsable de la sécurité informatique chez AT&T. « Ces menaces combinées peuvent endommager de manière plus profonde encore de très nombreux réseaux et utilisateurs, dans un délai très court. » Plus grave encore, les menaces surviennent toujours plus rapidement. Il y a quelques années, il fallait environ un an à l'auteur d'un virus pour exploiter une vulnérabilité révélée par un éditeur de logiciel. L'année dernière l'intervalle entre l'annonce d'une faille logicielle et la première attaque s'est considérablement restreint. Ed Amoroso note qu'en 2003 alors que le ver MSBlast est apparu 25 jours après le lancement d'un patch de sécurité sensé résoudre le problème, cette année le ver Sasser est apparu seulement 18 jours après l'annonce de la vulnérabilité qu'il exploite. Il est fort probable que cette vitesse d'exploitation continuera de s'accélérer, peut être même jusqu'au jour où les menaces exploiteront des vulnérabilités non annoncées. Connue comme la menace « jour zéro », un tel événement pourrait causer des dommages énormes avant même que les éditeurs de logiciels ne publient des correctifs et ne les diffusent auprès des utilisateurs. Si seulement les logiciels étaient mieux sécurisés… « Malheureusement, la sécurité devrait être intégrée dans le logiciel depuis le départ, car les patches ne forment - AT&T Point of View / Sécurité Réseau - 07/2004 2 point _of_view comme leur nom l'indique - que des rustines » précise Norma Schroder, Directrice de recherche chez Gartner Dataquest. Pour se protéger contre les attaques, la plupart des entreprises s'appuient sur des pare-feu - dispositifs permettant de bloquer les codes malicieux hors des réseaux internes - et sur des systèmes de détection d'intrusion, qui analysent les trafics transitant par les pare-feu. « Même si ces technologies fonctionnent jusqu'à un certain point, de nouveaux systèmes de sécurité se concentrant plus sur la prévention et l'automatisation des réactions en cas d'attaque sont nécessaires d' urgence » ajoute Mme Schroder. 137529 2003 3784 82094 2002 4129 52658 2001 2437 21756 2000 Incidents signalés 1090 Vulnérabilités signalés 9859 1999 417 3734 1998 262 0 20 40 60 80 100 120 140 Des incidents de sécurité et des vulnérabilités logicielles (x1000) Source : Centre de co-ordination du CERT®, Université Carnegie Mellon 1 … et les dépenses des entreprises augmentent La multiplication des cyber-menaces et l'accroissement des vulnérabilités se traduisent par l'augmentation des coûts. A tel point que la croissance des dépenses de sécurité réseau est plus rapide que celle de l'ensemble du budget informatique. Selon une étude récente de Smith Barney de Citigroup, la sécurité se place désormais au second rang des priorités budgétaires des entreprises, derrière les applications, et les Directeurs informatiques prévoient d'imputer 2 13,7 % de leurs nouveaux budgets à la sécurité . Gartner estime que la totalité de la dépense mondiale en matière de sécurité augmentera en moyenne chaque année de 17,6% d'ici à 2006, alors que les investissements dans l'infrastructure - pare-feu, outils antivirus - s'élèveront de 22%. La dépense globale informatique augmentera également, mais beaucoup moins rapidement :The Economist Intelligence Unit évalue cette croissance à 4 ou 5 % en 2004. 3 1 Statistiques 1988-2003 CERT/CC, Centre de co-ordination du CERT®, Carnegie Mellon University, janvier 2004. Note : un incident est une attaque de sécurité signalée pouvant impliquer un ou des milliers de sites. Une vulnérabilité est une faille identifiée dans un programme logiciel, faisant généralement l'objet de la publication d'un correctif par l'éditeur responsable, afin de corriger les erreurs pouvant permettre à l'attaque de se développer. 2 3 Software Industry Note: March 2004 macro trends survey, Smith Barney, Citigroup Global Markets World telecoms and technology outlook,The Economist Intelligence Unit, mars 2004 AT&T Point of View / Sécurité Réseau - 07/2004 3 point _of_view 2006 21.6 2005 18.6 2004 CAGR 17.6% 15.8 2003 13.3 0 2 4 6 8 10 12 14 16 18 20 22 Prévision : dépense mondiale en matière de sécurité (milliards de $) Source: Gartner Dataquest (includes hardware, software and services) Les dirigeants couverts par notre enquête conviennent que les investissements dans le domaine de la sécurité augmentent. En moyenne en 2002, leurs entreprises consacraient 9% de leur budget informatique à la sécurité. Ce chiffre est passé à 11% l'année dernière et pourrait atteindre 13% en 2004, selon les estimations. En outre, les personnes interrogées révèlent l'existence d'un lien étroit entre les objectifs technologiques de leurs entreprises et les vulnérabilités de leurs systèmes d'information. « Les entreprises développent des projets qui les rendent vulnérables » déclare Chris Byrne, vice-Président et Directeur des services, Meta Group, cabinet de conseil international. Parmi les objectifs technologiques suivants, lesquels ont été adoptés par votre entreprise? Evaluez la vulnérabilité ainsi engendrée vis à vis des failles de sécurité électronique. Source : Enquête AT&T/ The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004 Alors que la majorité des personnes couvertes par notre enquête considère que l'accroissement des menaces de sécurité est le principal facteur d'augmentation des dépenses consacrées à la sécurité, cette analyse paraît AT&T Point of View / Sécurité Réseau - 07/2004 4 point _of_view quelque peu simpliste pour de nombreux experts. Graham Titterington, analyste en chef chez Ovum, cabinet d'analyse international, pense que les propositions de dépense en matière de sécurité s'apparentent trop souvent à une police d'assurance contre des risques inconnus. Cependant, « les Comités de direction sont généralement moins réceptifs lorsque les alertes urgentes concernent la sécurité » précise M.Titterington. « L'argument le plus à même de les convaincre d'investir dans la sécurité réside dans l'intégration de nouveaux processus et de nouveaux outils technologiques qui les aideront à développer leurs activités. » Les Directeurs informatiques réalistes commencent à analyser la valeur des investissements en sécurité sous d'autres perspectives, telles que la réduction des coûts et l'accroissement de la productivité. « Nos investissements en matière de sécurité répondent réellement à la nécessité d'améliorer l'efficacité et l'accès, et prennent en compte les demandes de nos clients » commente Mark Whittle, Directeur de la communication chez Allied Domecq PLC, géant mondial des alcools et des vins. Pour justifier ses investissements en matière de sécurité, M. Whittle s'est appuyé sur un modèle d'investissement échelonné sur trois ans, tenant compte du retour sur investissement. « Je veux savoir si la valeur créée est suffisante pour justifier l'investissement » poursuit M. Whittle. « Si vous ne procédez pas à ce type d'analyse, vous ne rendez pas service à l'entreprise pour qui vous travaillez. » La sécurité est-elle un facteur de développement ? Certains exemples montrent dans quelle mesure elle contribue à consolider et à réduire les coûts : • Provisioning automatisé - offre des économies en matière d'administration et réduit les délais, ce qui améliore la productivité des équipes • Authentification unique (Single Sign On) - facilite l'utilisation des processus • Réseaux privés virtuels - remplace les lignes louées onéreuses • Filtrage des contenus (e-mails et navigation web) - limite les pertes de temps Du fait d'intérêts parfois contraires liés au changement et à la sécurité, il n'est pas surprenant de voir les responsables de la sécurité lutter avec les autres dirigeants en matière d'innovation. Pour rompre avec ce modèle, Allied Domecq a crée un 'Global Governance Board' visant à gérer la validation de tous les projets majeurs. Ce groupe, incluant le Directeur informatique et d'autres hauts dirigeants de l'entreprise, a pour responsabilité de s'assurer que toute proposition de projet identifie des solutions technologiques, ainsi que les risques associés directs plutôt qu'indirects. « Ceci signifie que lorsque qu'une vaste campagne Marketing repose sur la capacité à déplacer d'importants volumes de données, le plan original d'approbation inclut un plan technologique, une évaluation des risques et des engagements sur les niveaux de service garantissant les performances » précise M. Whittle. « Le groupe décide alors si les revenus potentiels justifient le risque et les coûts de protection associés. » AT&T Point of View / Sécurité Réseau - 07/2004 5 point _of_view La prévention avant la réaction Alors que de nombreux fournisseurs offrent aujourd'hui des services de sécurité gérés ciblant des attaques ayant déjà affecté le réseau d'une entreprise, l'industrie de la sécurité se démène pour trouver de nouveaux moyens empêchant ces attaques de survenir pour la première fois. Lancé en mars 2004, AT&T Internet Protect est conçu pour alerter les entreprises de l'existence de menaces potentielles, avant que celles-ci ne se transforment en attaques à grande échelle. AT&T prévient ses clients quelques minutes après avoir identifié une activité malveillante (telle qu'une attaque par déni de service) et leur recommande aussitôt les actions à mettre en œuvre immédiatement. Les fonctionnalités de prévision et d'atténuation des préjudices d'AT&T Internet Protect sont encapsulées dans le réseau IP global de la société. La technologie qui est à la base d'Internet Protect a été développée par AT&T Labs ces dernières années, dans le but de protéger le propre réseau d'AT&T. Elle vise à rechercher les menaces de manière proactive, puis à les détruire avant qu'elles ne se transforment en véritable attaque portée contre le réseau. « En surveillant en temps réel la totalité du trafic Web de notre réseau et en s'appuyant sur des modèles heuristiques et statistiques pour étudier les anomalies identifiées dans le trafic, nous sommes capables d'identifier et de localiser des vers, des virus, des attaques par déni de service ou toute autre activité malveillante, et ce avant que les performances du réseau ne soient affectées » témoigne Ed Amoroso d'AT&T. « Les alertes proactives d'AT&T Internet Protect permettent à nos clients d'agir avant que le dommage ne soit irrémédiable. » Dr Amoroso prévoit que la responsabilité en matière de sécurité sera transférée peu à peu vers le réseau luimême. « Le réseau est l'instrument frontal de sécurité le plus naturel et le plus efficace. Il est capable de détecter et de prévenir les attaques beaucoup plus efficacement que toute combinaison de solutions web d'extrémité mises bout à bout ». Des menaces à provenance insoupçonnée Parmi les très nombreuses menaces auxquelles sont confrontés les dirigeants couverts par notre enquête, les virus et les vers sont les plus répandues. Pourtant, certains professionnels ne soupçonnent même pas l'existence d'autres types de danger. « L'espionnage par la concurrence est probablement une menace plus importante que les virus et les vers » affirme M. Byrnes de META Group. « Les gens n'en parlent pas et tendent même à éluder le débat au sein de leur entreprise ». M. Byrnes a pourtant vu de nombreux lancements de produits paralysés du fait de la perte des plans d'ingénierie et de commercialisation au profit de sociétés concurrentes. « Les gens n'y pensent pas, jusqu'au moment où ils le vivent eux-mêmes. Et même dans cette situation, ils pensent être les seuls dans ce cas. » AT&T Point of View / Sécurité Réseau - 07/2004 6 point _of_view Selon vous, quelles sont les trois plus importantes menaces de sécurité électronique pour votre entreprise aujourd'hui et dans les deux ans qui viennent ? 92 Virus et vers 87 50 Hackers 53 40 Dommage accidentel 33 36 Spam 2004 2006 31 27 25 Sabotage interne 19 Pannes d’électricité 14 17 19 Attaques par déni de service 12 Espionnage par la concurrence 17 9 Attaques terroristes 15 8 8 Catastrophes naturelles 1 2 Autre 0 20 40 60 80 100 Taux de réponse (%) Source : Enquête AT&T/The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004 Il apparaît que la plus grande vulnérabilité réside dans l'élément humain. Les personnes interrogées pensent que 83% des attaques proviennent de l'intérieur même de l'entreprise - sabotage interne, espionnage ou erreurs accidentelles. Mais il est étonnant de constater que 78% des personnes interrogées admettent avoir ouvert au cours de l'année une pièce jointe à un e-mail provenant d'une personne inconnue. « Les attaques externes recueillent toute l'attention, mais les brèches internes, à la fois criminelles et accidentelles, sont plus fréquentes » précise Rick Cudworth, responsable de la sécurité et de la continuité chez KPMG UK. « Même si le personnel a tendance à croire que cela ne lui arrivera pas, les entreprises doivent garder à l'esprit que les attaques existent réellement. » AT&T Point of View / Sécurité Réseau - 07/2004 7 point _of_view Combien d'erreurs présentées dans la liste suivante avez-vous commises au cours de l'année dernière ? Ouvrir la pièce jointe d’un e-mail provenant de quelqu’un que vous ne connaissez pas 78 Choisir votre propre nom ou date de naissance comme mot de passé « sécurisé » d’accès au réseau de votre entreprise 29 Accéder au réseau de votre société depuis un lieu public et sans pouvoir quitter 17 Partager de manière informelle le mot de passe d’accès au réseau de la société avec une personne extérieure 9 0 10 20 30 40 50 60 70 80 90 Taux de réponse (%) Source : Enquête AT&T/The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004 Ces résultats ne surprennent pas Thierry van Herwijnen, Directeur Marketing EMEA en charge de la sécurité chez Cisco Systems : « Nous tentons d'informer les dirigeants et les employés des entreprises avec lesquelles nous collaborons, mais il est très difficile de les faire évoluer » témoigne-t-il. L'un des moyens d'aider les employés est de développer des pratiques d'entreprise, telles que des règles d'utilisation acceptables. Cisco par exemple, interdit à ses employés d'utiliser leurs propres pare-feu pour accéder au réseau de la société. « Si vous ne dites pas ce qui est mal, comment espérer stimuler le bon comportement ? » s'interroge M. van Herwijnen. « Il s'agit de développer de véritables campagnes Marketing, pour tenter de modifier le comportement des employés et des dirigeants. » Des services gérés de sécurité La plupart des entreprises n'ont souvent pas la capacité de gérer ces menaces de sécurité dont l'ampleur et la fréquence ne cessent de s'accroître. Elle ne disposent pas non plus des compétences nécessaires pour en atténuer les effets. Dans ce contexte, une tendance consistant à déléguer une partie du travail à un fournisseur de services gérés de sécurité, se développe rapidement, du moins dans les petites entreprises. 32% des personnes interrogées utilisent déjà ou prévoient d'utiliser dans les deux ans qui viennent des services gérés de sécurité. 14% pensent y recourir à long terme. Cependant, 70% de ces sociétés sont des PME. « Les grandes entreprises se montrent réticentes à l'idée d'ouvrir leur réseau et leurs données à des fournisseurs de services externes » déclare M. Cudworth de KPMG. « Psychologiquement, le saut reste énorme. Il est difficile de placer les actifs et les informations stratégiques d'une entreprise entre les mains d'autres personnes. » AT&T Point of View / Sécurité Réseau - 07/2004 8 point _of_view Mais les services gérés permettent toutefois à de nombreuses entreprises de bénéficier des compétences et de la protection d'une société spécialisée dans la sécurité informatique. « Des compétences pointues, notamment dans le domaine de la sécurité, sont difficiles à trouver en interne » ajoute M. Whittle d'Allied Domecq. « Nous ne sommes pas des spécialistes du réseau et, en aucun cas, d'éventuelles économies d'échelle ou compétences stratégiques ne sauraient justifier la construction immédiate d'une équipe de supervision. » M. Whittle vient d'ailleurs de fusionner ses services mondiaux informatiques et de télécommunication, dans un but de simplification, de consolidation, de rationalisation, de standardisation et pour rendre au final l'informatique plus facile à administrer. « Cette simplification nous a en outre permis de renforcer notre pouvoir de négociation auprès de fournisseurs de confiance moins nombreux. Nous sommes ainsi parvenus à réduire encore nos coûts » explique M. Whittle. Faites vous appel ou prévoyez-vous de faire appel à un fournisseur de services gérés de sécurité ? Ne sait pas (20%) Utilise aujourd’hui les services gérés de sécurité d’un fournisseur externe (22%) Prévoit d’y recourir dans les deux ans qui viennent (10%) Ne prévoit pas d’y recourir (35%) Prévoit d’y recourir à long terme (14%) Source : Enquête AT&T/The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004 Qui gère le risque ? L'externalisation de la sécurité du réseau auprès de fournisseurs externes n'est pas le seul facteur contribuant à l'abandon des pratiques conventionnelles, mises à mal par la multiplication des menaces de sécurité. Notre enquête met en relief deux évolutions significatives des modes de management : dans certaines entreprises, le CEO tient un rôle de plus en plus déterminant dans le développement de règles de sécurité réseau, pendant que d'autres voient émerger un nouveau poste : le responsable de la sécurité informatique (Chief information security officer, CISO). « Pour toute entreprise, il est virtuellement impossible de garantir la sécurisation des ressources sans confier le dossier à un responsable » déclare Dr Amoroso d'AT&T. « Il est temps que les conseils d'administration prennent conscience qu'un responsable de la sécurité informatique est aussi important qu'un contrôleur de gestion ». Même si, selon Mme Schroder de Gartner, cette prise de conscience commence à se généraliser, 1/3 seulement des grandes entreprises américaines ont créé ce type de poste. AT&T Point of View / Sécurité Réseau - 07/2004 9 point _of_view Qui assume les décisions, en matière de règle de sécurité électronique dans votre entreprise ? Directeurs régionaux ou de business unit (2%) Fournisseur de services gérés de sécurité (3%) Autre (3%) CEO (24%) Responsable des systèmes d’information (27%) Directeur financier (5%) Responsable de la sécurité (10%) Directeur informatique (25%) Source : Enquête AT&T/The Economist Intelligence Unit sur les réseaux et les stratégies d'entreprise, mars-avril 2004 Du fait de la multiplication des menaces mettant en péril la continuité opérationnelle des entreprises et d'une exigence légale accrue en matière de transparence, les dirigeants et membres du conseil d'administration euxmêmes commencent à s'intéresser au risque. « Les membres du conseil d'administration veulent savoir non seulement si les entreprises se protègent contre les incidents de sécurité informatique, mais également comment… ce qui est une bonne chose » affirme Laura Koetzle, Analyste chez Forrester Research. « Mais nombreux sont ceux qui choisissent encore la méthode expéditive. Ils s'attachent les services de consultants qui mettront en œuvre des 'gadgets' technologiques, sans décider en premier lieu quels risques majeurs de sécurité prendre en compte en priorité. » Identifier et attribuer une valeur à ce risque, puis fixer des niveaux de responsabilités raisonnables forment les premières étapes incontournables d'un plan de sécurité. « Les entreprises commencent à hésiter lorsque les risques excèdent leur réelle capacité à les assumer - c'est également vrai pour les risques de sécurité informatique, qu'ils soient capitalistiques ou réglementaires » ajoute Mme Koetzle. M. Byrnes du META Group prévoit qu'en 2005, l'accroissement de la maturité des programmes de sécurité, ainsi que la pression des auditeurs et l'obligation de conformité légale accélèreront l'intégration de la sécurité au sein d'une fonction dédiée à la gestion du risque et à la conformité, à l'échelle de l'ensemble de l'entreprise. « Les entreprises nommeront de plus en plus fréquemment des responsables du risque » prédit AT&T Point of View / Sécurité Réseau - 07/2004 10 point _of_view M. Byrnes. « Ceux-ci gèreront l'ensemble des problématiques réglementaires et analytiques liées au risque, telles que la conformité, la sécurité informatique, la continuité opérationnelle et les plans de relève. » Le champ de la gestion du risque institutionnel Finance : Entreprise : Informatique : Investissement Marché Sécurité des informations Fraude Concurrence Incident Gestion Continuité Projet Physique Conformité Personnel Plan de relève International Respect de la vie privée International Source: Meta Group Comme dans pratiquement tous les modèles d'organisation, les défis liés à l'émergence de ce nouveau rôle impliqueront une gestion trans-départementale ou un partage des responsabilités au-delà des frontières de l'organisation. « Un responsable du risque ne doit pas nécessairement disposer d'une connaissance profonde de l'informatique, mais il doit être capable de comprendre les problèmes technologiques et de gestion d'entreprise » précise M.Titterington, d'Ovum. « Au fond, il doit savoir bien communiquer à travers l'entreprise, objectivement et quantitativement. » Dans les entreprises aujourd'hui, le respect de la vie privée, la sécurité des informations, la continuité et la conformité sont des domaines ne s'appuyant que rarement sur des processus définis et présentant de faibles niveaux de maturité, en termes de gestion du risque. « L'adoption d'un mode d'organisation reposant sur la gestion du risque démontrera que la sécurité offre un réel service aux entreprises, qu'elle est adaptée aux spécificités de ces dernières et qu'elle gagne en maturité » ajoute M. Byrnes. La chose la plus difficile n'est pas de mettre en place une telle structure organisationnelle. Le secret réside dans le processus de décision qui est issu de l'analyse du risque. « Les deux principales questions sont : quelle valeur donnez-vous à vos actifs ? et quel est le coût raisonnable de la prévention ? » interroge M. Whittle chez Allied Domecq. « Chaque entreprise doit trouver son propre équilibre. » AT&T Point of View / Sécurité Réseau - 07/2004 11 point _of_view Catégories de produits et services de sécurité Protection d'extrémité Antivirus Filtrage de contenus Systèmes de détection d'intrusion Systèmes de protection contre les intrusions Pare-feu réseau Sécurité de plate-forme Pare-feu pour applications Annuaire Cryptage des données stockées Plate-forme d'exécution sécurisée Sécurisation des communications Cryptage des communications PKI Livraison garantie (Reliable Messaging) Intégrité transactionnelle Réseau privé virtuel Administration de la sécurité Audit et analyse Administration des règles Evaluation de la sécurité Gestion des versions, des configurations et patchs Gestion des utilisateurs Contrôle d'accès Authentification Fédération Identification Provisioning Source: Ovum AT&T Point of View / Sécurité Réseau - 07/2004 12 point _of_view Appendice : résultats de l'enquête menée par AT&T et The Economist Intelligence Unit (EIU) 254 dirigeants d'entreprises issues du monde entier ont participé à une enquête en ligne, portant sur le réseau et les stratégies d'entreprise. La rédaction de ce livre blanc a été basée sur leurs réponses. Nous tenions à remercier toute personne ayant participé. Performance réseau Quels sont les principaux défis que votre réseau devra relever dans les deux années qui viennent, pour atteindre les objectifs de votre entreprise ? Notez chaque défi de 1 à 4, 1 représentant un défi critique, 2 un défi important, 3 un défi d'importance mineure et 4 un défi sans importance. 18 Besoin d’intégrer de plus nombreux points d’accès dans le monde 46 25 12 29 Besoin de prendre en charge de plus importants volumes de trafic données 55 15 0 33 49 Besoin de transmettre plus rapidement les données 17 1 21 Besoin d’une continuité opérationnelle 24/7 "follow-the-sun" 36 29 13 40 Besoin de garantir des niveaux supérieurs de fiabilité et de disponibilité 46 13 2 16 Besoin de prendre en charge efficacement les pics de demande spécifique 51 29 4 21 Besoin de mieux utiliser la capacité de calcul 40 34 5 43 Besoin de partager aisément et de manière sécurisé des informations avec les partenaires et clients 39 15 3 28 Besoin de partager aisément et de manière sécurisée des applications avec les partenaires et clients 38 29 5 36 Besoin d’accroître l’efficacité via l’intégration de multiples systèmes et applications 39 20 5 12 Besoin d’identifier différents types de trafics données et de hiérarchiser leur transmission 39 40 9 16 Besoin de disposer de services voix et données intégrés pour le CRM ou d’autres applications Critique Important Mineur Pas important 29 37 18 17 Besoin d’envoyer et de recevoir des contenus multimédia 38 36 9 56 Besoin de garantir une meilleure sécurité réseau 33 10 2 5 23 Autre 28 44 0 10 20 30 40 50 60 Taux de réponse (%) AT&T Point of View / Sécurité Réseau - 07/2004 13 point _of_view Parmi les attributs de performance réseau suivants, lesquels sont les plus critiques pour votre entreprise ? Notez-les de 1 à 4, 1 : critique, 2 : important, 3 : peu important, 4 : pas important. 78 19 Sécurité 3 0 70 27 Disponibilité/indisponibilité réseau 3 0 58 40 Fiabilité des connexions 2 0 40 54 Vitesse du réseau 6 0 37 Accessibilité (c’est à dire : accès à la totalité des applications réseau depuis l’extérieur de l’entreprise) 44 15 3 25 Intelligence (c’est à dire : la capacité d’"autorétablissement" du réseau, avec fonctions automatiques de restauration et de re-routage) 46 23 6 24 50 Efficacité / utilisation de la capacité 24 2 23 44 Architecture ouverte, basées sur des standards 28 5 21 Réactivité (c’est à dire : la capacité de transmettre en priorité les données les plus urgentes ou de prendre en charge des pics de demande) Critique Important Peu important Pas important 47 25 7 20 48 Couverture (nombre d’extrémités) 27 4 14 61 Evolutivité 22 3 7 24 Autre 19 50 0 10 20 30 40 50 60 70 80 Taux de réponse (%) AT&T Point of View / Sécurité Réseau - 07/2004 14 point _of_view Parmi les éléments suivants, quels objectifs technologiques poursuit votre entreprise ? Choisissez plusieurs réponses le cas échéant. Sécurité réseau Evaluez la vulnérabilité des entreprises vis-à-vis de brèches de sécurité électronique provoquées par les attributs suivants ? 33 Données client stockées, analysées et exploitées par voie électronique 49 18 20 Produits et services commandés et/ou distribués par voie électronique 57 22 24 Accès en temps réel aux données de la chaîne logistique pour les partenaires et les fournisseurs 49 Extrêmement vulnérable Vulnérable Pas vulnérable 27 49 Données financières clients stockées en ligne 32 19 30 Accès complet au réseau et aux applications réseau pour les travailleurs distants 56 14 8 Processus “follow-the-sun” permettant une continuité opérationnelle 24/7 48 44 12 Plus de services self-service offerts en ligne aux clients 54 34 31 Données financières et opérationnelles de lÕentreprise accessibles en ligne et virtuellement en temps réel par la Direction 48 21 0 10 20 30 40 50 60 Taux de réponse (%) AT&T Point of View / Sécurité Réseau - 07/2004 15 point _of_view Quelles sont, selon vous, les trois principales menaces de sécurité auxquelles est confrontée votre entreprise aujourd'hui ? 92 Virus et vers 87 50 Hackers 53 40 Dommage accidentel 33 36 Spam 2004 2006 31 27 25 Sabotage interne 19 Pannes d’électricité 14 17 19 Attaques par déni de service 12 Espionnage par la concurrence 17 9 Attaques terroristes 15 8 8 Catastrophes naturelles 1 2 Autre 0 20 40 60 80 100 Taux de réponse (%) Selon vous, quels seront les trois principaux risques pour votre entreprise dans deux ans ? Virus et vers 87 Hackers 53 Dommage accidentel 33 Spam 31 Sabotage interne 25 Attaques par déni de service 19 Espionnage de la concurrence 17 Attaques terroristes 15 Pannes de courant 14 Catastrophes naturelles 8 Autre 2 0 20 40 60 80 100 Taux de réponse (%) AT&T Point of View / Sécurité Réseau - 07/2004 16 point _of_view Quel pourcentage de votre budget informatique consacriez-vous/consacrez-vous à la sécurité des données ? 2002 9 2003 11 2004 13 0 1 2 3 4 6 5 7 8 9 10 11 12 13 14 15 Taux de réponse (%) Parmi les facteurs ci-dessous, quels sont les plus déterminants dans la décision de mettre en œuvre de nouvelles solutions de sécurité dans votre entreprise ? Notez de 1 à 4, 1 : Critique, 2 : important, 3 : peu important, 4 : pas important : 35 L’augmentation des menaces de sécurité réelles 53 10 2 19 43 La nécessité d’une disponibilité 24x7 30 8 23 Le développement de nouvelles technologies de sécurité plus performantes 57 19 2 20 L’accroissement des obligations réglementaires et légales Critique Important Peu important Pas important 46 29 5 29 Les demandes accrues des employés en faveur d’un accès facilité aux données 49 20 2 24 45 Les demandes accrues des clients en faveur d’un accès facilité aux données 23 9 29 47 Intégration des applications dans les bases de données d’entreprise 17 7 0 10 20 30 40 50 60 Taux de réponse (%) AT&T Point of View / Sécurité Réseau - 07/2004 17 point _of_view Quel est selon vous, le pourcentage d'attaques de sécurité réseau initié depuis l'intérieur et l'extérieur de votre entreprise ? (228 personnes ont répondu à cette question). Ne sait pas (4%) De l’extérieur (13%) De l’intérieur (83%) Qui prend les décisions en matière de politique de sécurité électronique dans votre entreprise ? Directeurs régionaux ou de business unit (2%) Fournisseur de services gérés de sécurité (3%) Autre (3%) CEO (24%) Responsable des systèmes d’information (27%) Directeur financier (5%) Responsable de la sécurité (10%) AT&T Point of View / Sécurité Réseau - 07/2004 Directeur informatique (25%) 18 point _of_view Faites-vous appel, ou prévoyez-vous de faire appel à un fournisseur de services gérés de sécurité? Utilise aujourd’hui les services gérés de sécurité d’un fournisseur externe (22%) Ne sait pas (20%) Prévoit d’y recourir dans les deux ans qui viennent (10%) Prévoit d’y recourir à long terme (14%) Ne prévoit pas d’y recourir (35%) Combien d'erreurs présentées dans la liste suivante avez-vous commises au cours de l'année dernière ? Cochez les réponses choisies. Ouvrir la pièce jointe d’un e-mail provenant de quelqu’un que vous ne connaissez pas 78 Choisir votre propre nom ou date de naissance comme mot de passé « sécurisé » d’accès au réseau de votre entreprise 29 Accéder au réseau de votre société depuis un lieu public et sans pouvoir quitter 17 Partager de manière informelle le mot de passe d’accès au réseau de la société avec une personne extérieure 9 0 10 20 30 40 50 60 70 80 90 Taux de réponse (%) AT&T Point of View / Sécurité Réseau - 07/2004 19 point _of_view Renseignements sur les participants Zone géographique Moyen Orient / Afrique (3%) Amérique Latine (8%) Autre (1%) Europe (40%) Asie-Pacifique (21%) Amérique du Nord (27%) Fonction Autre (8%) Membre du Conseil d’administration (6%) CEO/Directeur des opérations/Président/ Directeur général (30%) Directeur (33%) Directeur financier/Trésorier/Contrôleur de gestion (3%) SVP/VP (15%) AT&T Point of View / Sécurité Réseau - 07/2004 Directeur informatique/Directeur Technologique (5%) 20 point _of_view Metier Secteur d'activité Agriculture et agroalimentaire (0%) Autre (6%) Transport, voyages et tourisme (8%) Automobile (2%) Chimie (2%) Construction et immobilier (2%) Biens de consommation (4%) Education (2%) Télécoms (4%) Energie et ressources naturelles (6%) Technologie (4%) Loisirs, média et édition (2%) Distribution (2%) Services financiers (hors assurances) (15%) Services Professionnels (15%) Etat/Secteur public (2%) Santé, pharmacie et biotechnologie (5%) Fabrication (biens durables et équipements) (11%) AT&T Point of View / Sécurité Réseau - 07/2004 Assurances (2%) Services informatiques (7%) 21 point _of_view Chiffre d'affaires annuel (dollars US, 2001) Ne se prononcent pas (7%) 8 milliards de $ ou plus (11%) 500 millions de $ ou moins (61%) De 3 à 8 milliards de $ (4%) de 1 à 3 milliards de $ (8%) De 500 millions de $ à 1 Milliard $ (9%) AT&T Point of View / Sécurité Réseau - 07/2004 22 Pour plus d'informations sur les solutions sécurité d'AT&T, contactez votre interlocuteur AT&T ou consultez notre portail sécurité sur www.att.com/emea/securityportal www.att.com/emea © 2004 AT&T. All Rights Reserved. ATT-WP-002-FR 07/2004