meilleureS PratiqueS

L e s s t r at é g i e s d e s éc urit é du suc c ès
5
meilleures pratiques
pour faire de la
sécurité l’affaire de tous
Les employés constituent l’un de vos plus grands risques en matière de sécurité
des informations. Ces cinq techniques éprouvées vous permettront de renforcer
votre stratégie de sécurité et de protéger votre entreprise.
« Lorsque les
stratégies
sont conçues
en impliquant
l’ensemble de
l’entreprise
et que la
sensibilisation
à la sécurité
fait partie de
la culture, les
violations sont
rares. »
— Stan Black
responsable de
la sécurité des
informations de
Citrix
Menacés par un éventail toujours plus étendu de menaces de plus
en plus puissantes, les utilisateurs modernes, hautement mobiles,
se retrouvent en première ligne dans le combat pour la sécurité de
l’entreprise. En conséquence, si les stratégies de sécurité efficaces
doivent impérativement intégrer des politiques intelligentes, une
application rigoureuse et un suivi détaillé, elles doivent aussi prendre
en compte les besoins et les habitudes des utilisateurs de l’entreprise.
« En fin de compte, les utilisateurs sont précisément là où la sécurité
va réussir ou échouer, » explique Kurt Roemer, responsable des stratégies de sécurité chez Citrix.
Malheureusement, parvenir à assurer à la fois la sécurité et la satisfaction des utilisateurs n’est pas chose aisée. Les employés veulent
un accès à l’information en tout lieu, à tout moment et depuis tout
périphérique, sans mécanismes de sécurité compliqués qui les ralentissent. Les dirigeants de l’entreprise veulent sauvegarder les informations importantes sans pénaliser la croissance, l’innovation et la
compétitivité. Les directions informatiques veulent maintenir tout le
monde productif, tout en étant bien conscientes que les employés et
leurs périphériques sont bien souvent le maillon faible de la chaîne
de la sécurité.
Afin d’assurer un juste équilibre entre ces intérêts divergents, les
gestionnaires de la sécurité se doivent de suivre les meilleures
pratiques suivantes :
1. Formez les utilisateurs
Une main-d’œuvre informée et sensibilisée à la sécurité constitue la
première ligne de défense de l’entreprise contre les menaces. Donc,
former les utilisateurs à travailler de façon sûre, en tout lieu et depuis
tout périphérique doit constituer une priorité majeure.
Se contenter de diffuser des meilleures pratiques est la garantie de
l’échec. Prenez le temps de comprendre qui sont vos utilisateurs,
ce qu’ils font et ce dont ils ont besoin. Puis expliquez leur les stratégies de sécurité de votre entreprise dans des termes faciles à
comprendre et adaptés à leur fonction.
« La pertinence est essentielle, » martèle Kurt Roemer. « Tout ce que
vous présentez doit être adapté à la fonction de votre interlocuteur,
et non uniformisé. »
Stan Black, responsable de la sécurité des informations chez Citrix,
ajoute que la sensibilisation doit également être personnalisée. Par
exemple, outre la formation relative à la sécurité au travail, Citrix
dispense à ses employés des conseils sur des sujets comme la sécurisation d’un réseau sans fil à domicile ou comment aider ses enfants
à utiliser Internet en toute sécurité.
« Nous essayons de faire porter nos efforts pédagogiques sur l’intégralité du cycle de la sécurité, et non uniquement sur ce que font
nos employés au bureau, » poursuit Stan Black. Cette approche
rend les formations de sécurité plus attractives pour les employés
L e s s t r at é g i e s d e s éc urit é du suc c ès
et contribue à protéger les données sensibles utilisées sur des matériels personnels faiblement sécurisés.
2.Impliquez les différents services
de votre entreprise
Des relations de travail étroites entre les décisionnaires informatiques et les responsables des différents services de votre entreprise
sont un élément essentiel pour une sécurité efficace. Des rencontres
régulières avec les décisionnaires commerciaux aident les gestionnaires de la sécurité à intégrer dès le début des mécanismes de
protection appropriés aux nouvelles initiatives commerciales. Elles
leur fournissent en outre une indispensable vision précise sur les
risques et les besoins spécifiques de chaque secteur de l’entreprise.
« Vous en apprendrez plus sur les processus opérationnels et sur
les dangers potentiels que par n’importe quel autre moyen, » affirme
Stan Black. « Vous pouvez alors intégrer cette vision à vos plans de
sécurité et les rendre encore plus efficaces. »
3.Intégrez la modernité et la mobilité à
vos stratégies de sécurité
Aussi importante qu’elle soit, la formation à elle seule ne suffit pas à
assurer une sécurité efficace. Bon nombre des périphériques, des
réseaux et des systèmes de stockage employés de nos jours par les
utilisateurs sont hors du contrôle de la direction informatique.
« Les directions informatiques doivent adapter les stratégies de
sécurité traditionnelles à la réalité des nouveaux services cloud et
mobiles, » observe Kurt Roemer.
Commencez par définir dans quelle mesure vous souhaitez limiter
l’accès aux données de votre entreprise en fonction de la localisation
de l’utilisateur et du type de périphérique qu’il emploie. La plupart
des entreprises adoptent des stratégies graduées qui protègent
plus soigneusement les informations sensibles que les informations publiques et autorisent moins d’accès sur les périphériques
grand public et BYOD que sur les périphériques d’entreprise plus
« verrouillés ».
4.Appliquez les stratégies de façon
équitable et cohérente
Les stratégies de sécurité perdront de leur valeur au fil du temps
si les utilisateurs pensent que les violer est sans conséquence, ou
pire encore, s’ils croient que les contourner améliore la productivité.
Les stratégies doivent être mises à jour et demeurer en phase avec
l’entreprise. Les gestionnaires de la sécurité doivent donc les appliquer de façon équitable et cohérente.
« Lorsque les stratégies sont conçues en impliquant l’ensemble de
l’entreprise et que la sensibilisation à la sécurité fait partie de la
culture, les violations sont rares, » explique Stan Black.
5.Automatisez une sécurité transparente
Pour limiter encore les violations de vos stratégies, utilisez des logiciels de sécurité afin d’automatiser leur mise en œuvre. Par exemple,
de nombreuses solutions de sécurité permettent de mettre en œuvre
par défaut les comportements souhaités (chiffrement des données
d’entreprise sur les périphériques mobiles, par exemple). Ils peuvent
également intégrer une sécurité plus stricte à des éléments clés de
l’expérience utilisateur, en empêchant par exemple automatiquement les employés d’exécuter des applications non autorisées sur le
réseau de l’entreprise ou en limitant le nombre d’applications pour
lesquelles les utilisateurs ont le droit d’ouvrir les pièces jointes à un
email. D’autres solutions fournissent des fonctionnalités de journaux
et de comptes-rendus qui peuvent vous aider à prouver lors d’audits
que vous avez scrupuleusement respecté les stratégies appropriées.
Là encore, le logiciel ne constitue qu’une pièce du puzzle.
« Pour réellement protéger l’entreprise, vous devez bien connaître
ses différents services et ses utilisateurs, » indique Kurt Roemer.
En fin de compte, les meilleures stratégies de sécurité sont celles qui
accordent autant d’importance aux gens qu’aux technologies. n
Puis révisez vos stratégies de sécurité afin de prendre en compte les
risques liés, par exemple, au stockage de données d’entreprise sur
des périphériques personnels, à l’affichage de mots de passe sur un
écran d’ordinateur ou à l’utilisation d’un périphérique de stockage
USB trouvé par terre.
RENDRE LE BYOD SIMPLE ET SECURISE GRACE A CITRIX
La liberté offerte par les périphériques BYOD entraînera rapidement leur généralisation dans la plupart des entreprises. Ce qui va
transformer à la fois la façon dont les gens travaillent (en renforçant la productivité, la collaboration et la mobilité dans tout ce qu’ils font)
et la façon dont les directions informatiques leur délivrent les applications et données d’entreprise.
La meilleure approche BYOD consiste à associer une stratégie bien conçue et applicable à une solide base technologique sécurisée. Une
stratégie parfaitement formalisée doit définir qui est éligible, quels périphériques sont autorisés et quels services sont disponibles. Elle
doit également préciser qui est financièrement responsable de quoi, et comment les politiques d’utilisation acceptable s’appliquent.
Grâce à Citrix, la direction informatique simplifie la gestion et réduit les coûts, tout en donnant aux utilisateurs la possibilité de travailler
facilement, en toute sécurité et transparence sur tout type de périphérique, quel que soit son propriétaire. En tirant parti de capacités de
gestion granulaire des données et des applications, il devient possible d’accéder en toute sécurité aux données d’entreprise sensibles
sur des périphériques personnels. Les directions informatiques s’appuient sur le provisioning et le contrôle des données, des applications
et des périphériques basés sur l’identité pour protéger cette information contre la perte ou le vol, tout en respectant les obligations de
confidentialité, de conformité et de gestion du risque.
Pour en savoir plus, consultez www.citrix.fr/secure