meilleureS PratiqueS
Transcription
meilleureS PratiqueS
L e s s t r at é g i e s d e s éc urit é du suc c ès 5 meilleures pratiques pour faire de la sécurité l’affaire de tous Les employés constituent l’un de vos plus grands risques en matière de sécurité des informations. Ces cinq techniques éprouvées vous permettront de renforcer votre stratégie de sécurité et de protéger votre entreprise. « Lorsque les stratégies sont conçues en impliquant l’ensemble de l’entreprise et que la sensibilisation à la sécurité fait partie de la culture, les violations sont rares. » — Stan Black responsable de la sécurité des informations de Citrix Menacés par un éventail toujours plus étendu de menaces de plus en plus puissantes, les utilisateurs modernes, hautement mobiles, se retrouvent en première ligne dans le combat pour la sécurité de l’entreprise. En conséquence, si les stratégies de sécurité efficaces doivent impérativement intégrer des politiques intelligentes, une application rigoureuse et un suivi détaillé, elles doivent aussi prendre en compte les besoins et les habitudes des utilisateurs de l’entreprise. « En fin de compte, les utilisateurs sont précisément là où la sécurité va réussir ou échouer, » explique Kurt Roemer, responsable des stratégies de sécurité chez Citrix. Malheureusement, parvenir à assurer à la fois la sécurité et la satisfaction des utilisateurs n’est pas chose aisée. Les employés veulent un accès à l’information en tout lieu, à tout moment et depuis tout périphérique, sans mécanismes de sécurité compliqués qui les ralentissent. Les dirigeants de l’entreprise veulent sauvegarder les informations importantes sans pénaliser la croissance, l’innovation et la compétitivité. Les directions informatiques veulent maintenir tout le monde productif, tout en étant bien conscientes que les employés et leurs périphériques sont bien souvent le maillon faible de la chaîne de la sécurité. Afin d’assurer un juste équilibre entre ces intérêts divergents, les gestionnaires de la sécurité se doivent de suivre les meilleures pratiques suivantes : 1. Formez les utilisateurs Une main-d’œuvre informée et sensibilisée à la sécurité constitue la première ligne de défense de l’entreprise contre les menaces. Donc, former les utilisateurs à travailler de façon sûre, en tout lieu et depuis tout périphérique doit constituer une priorité majeure. Se contenter de diffuser des meilleures pratiques est la garantie de l’échec. Prenez le temps de comprendre qui sont vos utilisateurs, ce qu’ils font et ce dont ils ont besoin. Puis expliquez leur les stratégies de sécurité de votre entreprise dans des termes faciles à comprendre et adaptés à leur fonction. « La pertinence est essentielle, » martèle Kurt Roemer. « Tout ce que vous présentez doit être adapté à la fonction de votre interlocuteur, et non uniformisé. » Stan Black, responsable de la sécurité des informations chez Citrix, ajoute que la sensibilisation doit également être personnalisée. Par exemple, outre la formation relative à la sécurité au travail, Citrix dispense à ses employés des conseils sur des sujets comme la sécurisation d’un réseau sans fil à domicile ou comment aider ses enfants à utiliser Internet en toute sécurité. « Nous essayons de faire porter nos efforts pédagogiques sur l’intégralité du cycle de la sécurité, et non uniquement sur ce que font nos employés au bureau, » poursuit Stan Black. Cette approche rend les formations de sécurité plus attractives pour les employés L e s s t r at é g i e s d e s éc urit é du suc c ès et contribue à protéger les données sensibles utilisées sur des matériels personnels faiblement sécurisés. 2.Impliquez les différents services de votre entreprise Des relations de travail étroites entre les décisionnaires informatiques et les responsables des différents services de votre entreprise sont un élément essentiel pour une sécurité efficace. Des rencontres régulières avec les décisionnaires commerciaux aident les gestionnaires de la sécurité à intégrer dès le début des mécanismes de protection appropriés aux nouvelles initiatives commerciales. Elles leur fournissent en outre une indispensable vision précise sur les risques et les besoins spécifiques de chaque secteur de l’entreprise. « Vous en apprendrez plus sur les processus opérationnels et sur les dangers potentiels que par n’importe quel autre moyen, » affirme Stan Black. « Vous pouvez alors intégrer cette vision à vos plans de sécurité et les rendre encore plus efficaces. » 3.Intégrez la modernité et la mobilité à vos stratégies de sécurité Aussi importante qu’elle soit, la formation à elle seule ne suffit pas à assurer une sécurité efficace. Bon nombre des périphériques, des réseaux et des systèmes de stockage employés de nos jours par les utilisateurs sont hors du contrôle de la direction informatique. « Les directions informatiques doivent adapter les stratégies de sécurité traditionnelles à la réalité des nouveaux services cloud et mobiles, » observe Kurt Roemer. Commencez par définir dans quelle mesure vous souhaitez limiter l’accès aux données de votre entreprise en fonction de la localisation de l’utilisateur et du type de périphérique qu’il emploie. La plupart des entreprises adoptent des stratégies graduées qui protègent plus soigneusement les informations sensibles que les informations publiques et autorisent moins d’accès sur les périphériques grand public et BYOD que sur les périphériques d’entreprise plus « verrouillés ». 4.Appliquez les stratégies de façon équitable et cohérente Les stratégies de sécurité perdront de leur valeur au fil du temps si les utilisateurs pensent que les violer est sans conséquence, ou pire encore, s’ils croient que les contourner améliore la productivité. Les stratégies doivent être mises à jour et demeurer en phase avec l’entreprise. Les gestionnaires de la sécurité doivent donc les appliquer de façon équitable et cohérente. « Lorsque les stratégies sont conçues en impliquant l’ensemble de l’entreprise et que la sensibilisation à la sécurité fait partie de la culture, les violations sont rares, » explique Stan Black. 5.Automatisez une sécurité transparente Pour limiter encore les violations de vos stratégies, utilisez des logiciels de sécurité afin d’automatiser leur mise en œuvre. Par exemple, de nombreuses solutions de sécurité permettent de mettre en œuvre par défaut les comportements souhaités (chiffrement des données d’entreprise sur les périphériques mobiles, par exemple). Ils peuvent également intégrer une sécurité plus stricte à des éléments clés de l’expérience utilisateur, en empêchant par exemple automatiquement les employés d’exécuter des applications non autorisées sur le réseau de l’entreprise ou en limitant le nombre d’applications pour lesquelles les utilisateurs ont le droit d’ouvrir les pièces jointes à un email. D’autres solutions fournissent des fonctionnalités de journaux et de comptes-rendus qui peuvent vous aider à prouver lors d’audits que vous avez scrupuleusement respecté les stratégies appropriées. Là encore, le logiciel ne constitue qu’une pièce du puzzle. « Pour réellement protéger l’entreprise, vous devez bien connaître ses différents services et ses utilisateurs, » indique Kurt Roemer. En fin de compte, les meilleures stratégies de sécurité sont celles qui accordent autant d’importance aux gens qu’aux technologies. n Puis révisez vos stratégies de sécurité afin de prendre en compte les risques liés, par exemple, au stockage de données d’entreprise sur des périphériques personnels, à l’affichage de mots de passe sur un écran d’ordinateur ou à l’utilisation d’un périphérique de stockage USB trouvé par terre. RENDRE LE BYOD SIMPLE ET SECURISE GRACE A CITRIX La liberté offerte par les périphériques BYOD entraînera rapidement leur généralisation dans la plupart des entreprises. Ce qui va transformer à la fois la façon dont les gens travaillent (en renforçant la productivité, la collaboration et la mobilité dans tout ce qu’ils font) et la façon dont les directions informatiques leur délivrent les applications et données d’entreprise. La meilleure approche BYOD consiste à associer une stratégie bien conçue et applicable à une solide base technologique sécurisée. Une stratégie parfaitement formalisée doit définir qui est éligible, quels périphériques sont autorisés et quels services sont disponibles. Elle doit également préciser qui est financièrement responsable de quoi, et comment les politiques d’utilisation acceptable s’appliquent. Grâce à Citrix, la direction informatique simplifie la gestion et réduit les coûts, tout en donnant aux utilisateurs la possibilité de travailler facilement, en toute sécurité et transparence sur tout type de périphérique, quel que soit son propriétaire. En tirant parti de capacités de gestion granulaire des données et des applications, il devient possible d’accéder en toute sécurité aux données d’entreprise sensibles sur des périphériques personnels. Les directions informatiques s’appuient sur le provisioning et le contrôle des données, des applications et des périphériques basés sur l’identité pour protéger cette information contre la perte ou le vol, tout en respectant les obligations de confidentialité, de conformité et de gestion du risque. Pour en savoir plus, consultez www.citrix.fr/secure