Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Finance

Comment se préparer à des attaques de sécurité complexes

publicité 
IBM Global Technology Services
Livre blanc
IBM Security Services
Comment se préparer à des attaques de
sécurité complexes
Quatre mesures que vous pouvez prendre dès à présent pour protéger votre organisation
2
Réagir à – et se remettre – d’attaques de sécurité complexes
Sommaire
2 Introduction
3 Etape 1 : Classer vos objectifs métier par priorité et
définir la tolérance aux risques
4 Etape 2 : Protéger votre organisation à l’aide d’un plan
de sécurité proactif
7
Etape 3 : Préparer votre réponse face à l’inévitable : une
attaque complexe
8 Etape 4 : Favoriser la sensibilisation aux risques de
sécurité
10 N’attendez pas que votre société devienne une victime :
commencez dès aujourd’hui
12 Informations complémentaires
Introduction
Comme tant d’autres choses dans notre monde actuel, les
cyberattaques – et ceux qui les commettent – se perfectionnent
d’année en année. Parallèlement, les ressources informatiques
sortent des limites du pare-feu et les entreprises distribuent
leurs applications et données sur de nombreux périphériques.
Il devient donc clair que la simple protection du périmètre
d’une organisation ne suffit plus. Ces attaques complexes – qui
incluent les menaces persistantes avancées (Advanced Persistent
Threat ou APT) – contournent les défenses classiques.
Nous ne savons que trop comment les incidents de sécurité majeurs
peuvent affecter les données, réseaux et la marque d’une société.
Nous savons également que les attaques complexes, conçues
pour obtenir un accès continu aux informations critiques ou
endommager une infrastructure vitale, augmentent en intensité,
en fréquence et engendrent des coûts de plus en plus élevés.
Quel niveau de gravité ? Les attaques complexes peuvent avoir
pour but de :
• Voler de la propriété intellectuelle
• S’approprier des comptes bancaires et d’autres actifs financiers
• Propager des logiciels malveillants sur des ordinateurs
individuels ou à travers les systèmes
• Publier des informations métier et/ou clients confidentielles
en ligne
• Endommager une infrastructure vitale.
A quelle fréquence ? Une enquête de 2012 auprès de 2 618 chefs
d’entreprise et praticiens de sécurité aux Etats-Unis, au RoyaumeUni, en Allemagne, à Hong Kong et au Brésil a révélé que ces
entreprises subissaient en moyenne 66 attaques hebdomadaires ;
les organisations situées en Allemagne et aux Etats-Unis signalant
le nombre d’attaques le plus élevé : 82 et 79 par semaine,
respectivement. Et dans leur rapport bimestriel de 2012, les
équipes de recherche et de développement IBM X-Force notaient
une tendance générale à la hausse des vulnérabilités, et prédisaient
un éventuel pic sans précédent pour la fin de l’année.2
A quel prix ? Le coût moyen de récupération après une
cyberattaque était estimé à près de 235 000 euros par les
organisations sollicitées dans l’enquête 2012 ci-dessus.3 Ce qui
pourrait se monter à près de 800 millions d’euros sur une année.
Qui plus est, nous savons que les personnes à l’origine de ces
attaques complexes planifient sur le long terme et se montrent
très patientes. Elles explorent et ciblent des vulnérabilités
spécifiques. Et elles se concentrent davantage sur la destruction
que sur l’exploitation pour l’instant.
IBM Global Technology Services
Dans ce livre blanc, nous présenterons quatre étapes proactives
que vous pouvez – et devez – mettre en œuvre dès maintenant
pour protéger votre organisation :
• Classer vos objectifs métier par priorité et définir la tolérance
aux risques
• Protéger votre organisation à l’aide d’un plan de sécurité
proactif
• Préparer votre réponse face à l’inévitable : une attaque complexe
• Favoriser la sensibilisation aux risques de sécurité.
Etape 1: Classer vos objectifs métier par
priorité et définir la tolérance aux risques
L’expérience de ces dernières années a clairement mis en évidence
que « la sécurité » n’est que relative. En effet, quel que soit notre
désir de créer une entreprise en permanence entièrement sécurisée,
la réalité est tout autre. Néanmoins, la menace croissante d’attaques
complexes exige que nous prenions au sérieux la sécurisation
de nos informations et la protection de notre personnel et de
l’infrastructure. Pour cela, il faut commencer par définir des
priorités.
Déterminer ce qui est vital pour la sécurité de l’entreprise
et pourquoi
Cela peut sembler évident. Mais prendre le temps de réellement
réfléchir à vos objectifs métier et discuter de ce qui est le plus
important – ainsi que du degré de risque que vous êtes prêt à
tolérer – contribuera à jeter des bases solides pour une stratégie de
sécurité qui répondra aux besoins uniques de toute l’organisation.
Une fois cette ligne de référence établie, vous aurez déjà fait
un grand pas dans la bonne direction.
3
Identifier les domaines les plus vulnérables aux attaques
Tout comme il existe des priorités pour la sécurité, il existe
également des domaines plus vulnérables que d’autres. Il ne
s’agit pas de pointer du doigt ou de blâmer. Au contraire, c’est
l’occasion de voir les choses telles qu’elles sont – pour vous
permettre de créer un environnement globalement plus sûr.
Identifier les types d’attaque qui constituent les plus
grandes menaces
Les attaques complexes sont conçues pour semer le plus de chaos
possible et se traduisent en général par la perte ou l’utilisation
malveillante de données critiques, l’interruption d’une
infrastructure vitale, ou les deux. C’est pourquoi vous devez
examiner les systèmes d’informations et métier critiques de
l’entreprise du point de vue d’un attaquant. Puis vous devez
vous poser la question : comment un attaquant s’y prendrait-il
pour causer le plus de dégâts possible ?
Identifier les domaines qui subiraient les plus grandes
pertes en cas d’attaque
C’est là que vous devrez affronter votre plus grand cauchemar.
Si vous voulez élaborer un plan viable, vous devez connaître
exactement les effets dévastateurs d’une attaque qui réussirait à
frapper les endroits les plus vulnérables de l’entreprise.
Vous devez examiner les systèmes
d’informations et métier critiques
de l’entreprise du point de vue d’un
attaquant.
4
Réagir à – et se remettre – d’attaques de sécurité complexes
Sites de jeux et de divertissement en ligné piratés, 100 millions
d’enregistrements clients compromis
Coût estimé : 3 milliards d’euros
Victime : sites de divertissement et communauté de jeux en ligne
Ce qui s’est passé : une « intrusion externe » à un réseau de jeu
s’est traduite par la compromission de 70 millions de comptes
clients, mettant en danger les données personnelles et de carte de
crédit. L’entreprise a dû geler les services en ligne durant
l’enquête, ce qui a causé des réactions négatives du public et
une mauvaise presse en général. Un deuxième piratage dans la
division divertissement a compromis de nouvelles données client.
Pourquoi cela est arrivé : les pirates ont pu pénétrer la sécurité
réseau et accéder aux données de comptes et utilisateurs non
chiffrées voire même à certaines données de carte de crédit.
Les dégâts : outre, le ressentiment public généralisé, l’entreprise a
dû faire face à des coûts supérieurs à 130 millions d’euros en
perte d’activité et frais de réponse. La capitalisation boursière de
la société a chuté d’environ 3 milliards d’euros et le cours de
l’action a perdu 12 %.
Les leçons qu’il faut en tirer : apparemment, l’une des vulnérabilités
exploitées était connue de la société. Les entreprises doivent
s’appuyer sur une infrastructure pour gérer les risques associés
aux actifs informationnels et établir des mécanismes de
gouvernance renforcés pour soutenir cette infrastructure.
A titre d’information uniquement. Les faits réels et dommages associés à
ces scénarios peuvent différer des exemples fournis. Estimation basée
sur des informations financières publiques et les articles publiés.
Etape 2 : Protéger votre organisation à l’aide
d’un plan de sécurité proactif
A présent que vous connaissez vos priorités, le moment est venu
d’élaborer vos plans, de mettre en place la bonne technologie
et de tout déployer. C’est à ce stade que vous prenez les mesures
pour vous assurer que votre entreprise connaît les menaces
potentielles et s’efforce de se défendre face à elles de manière
proactive – en permanence.
Elaborer une approche proactive et informée de la
sécurité informatique
Développez une stratégie de sécurité avec des règles et des
technologies conçues pour protéger de manière proactive les actifs
et les informations identifiés comme prioritaires à l’étape 1. Armer
votre organisation pour gérer avec succès ces vulnérabilités est
une part essentielle d’une vision proactive de la sécurité. Les
stratégies de sécurité que vous développez constitueront les
bases de votre stratégie de gestion de la sécurité des données.
Ces stratégies doivent formaliser vos exigences, processus et
normes technologiques de sécurité. En prime, outre la détection
et l’élimination des vulnérabilités, une stratégie de sécurité
intelligente peut également améliorer les opérations métier
en diminuant les risques et les coûts de gestion de la sécurité
informatique.
Identifier les vulnérabilités existantes et les corriger
Cela peut impliquer un processus aussi simple (mais gourmand
en ressources) que s’assurer que chaque système d’exploitation
sur chaque machine est à jour de ses correctifs de sécurité – et
le restera. D’autres vulnérabilités sont plus difficiles à détecter
et corriger, par exemple, les points faibles des applications métier.
IBM Global Technology Services
Arbitrer les menaces existantes
Etes-vous sûr que vous n’êtes pas déjà victime d’une
attaque complexe ? Les attaques pernicieuses, telles que les
APT (Advanced Persistent Threat), sont conçues pour rester
invisi-bles aussi longtemps que possible, passant d’un hôte
compromis à un autre, sans générer de trafic réseau identifiable.
Au cœur de chaque APT se trouve une fonction de contrôle à
distance, qui permet aux criminels de naviguer vers des hôtes
spécifiques dans les organisations cibles, en manipulant les
systèmes locaux et en obtenant un accès continu aux
informations critiques. Pour vous protéger, vous devez disposer
d’outils conçus pour détecter les communications par contrôle
à distance entre votre système et l’envahisseur criminel.
Il est devenu plus important que
jamais de prêter une attention
particulière aux tests d’efficacité
des stratégies, procédures et
technologies de sécurité.
Tester, tester et encore tester
L’émergence des attaques complexes s’accompagne de l’évidence
que l’une d’entre elles frappera un jour votre organisation. Ce
n’est qu’une question de temps. C’est pourquoi il est devenu
plus important que jamais de prêter une attention particulière
aux tests d’efficacité des stratégies, procédures et technologies
de sécurité – car il s’agit d’un élément clé des exigences juridiques
et réglementaires liées à l’obligation de prudence et de diligence.
Pour tout manquement à ces exigences, les dirigeants sont tenus
responsables des résultats d’une violation de sécurité.
5
En raison de l’évolution constante du paysage sécuritaire, il est
tout aussi important d’implémenter des règles de tests et de
révision réguliers.
Adopter une approche intelligente des informations de
sécurité
Comment maîtriser tout cela – sans que le service informatique
soit constamment en état de panique ? Des outils de sécurité
intérieure et d’analyse peuvent surveiller activement et tirer
des corrélations à partir de l’activité des données provenant de
plusieurs technologies de sécurité, vous offrant la visibilité et les
connaissances de ce qui se passe dans votre environnement – pour
vous aider à détecter et enquêter sur le type d’activité suspecte
qui pourrait indiquer une attaque. Ils permettent de réduire la
complexité en communiquant dans un même langage pour des
environnements hétérogènes, tout en libérant votre service
informatique, permettant à la fois des gains de temps et d’argent.
Développer des procédures de gouvernance et
attribuer la responsabilité des risques
Comme nombre d’autres choses, les programmes et stratégies
de sécurité conçus pour vous défendre contre les menaces
telles que les attaques complexes dépendent entièrement de
l’aptitude de votre organisation à s’assurer que chacun respecte
les règles. Vous devez donc avoir en place un plan pour rester
maître de la situation sur le long terme. Cela implique de décider
qui surveille et gère les stratégies de sécurité et comment vous
allez prouver que votre stratégie face aux risques est maintenue.
Assurez-vous que quelqu’un est responsable de votre programme
de sécurité et que des interlocuteurs lui sont affectés dans les
domaines métier vitaux. En étendant les responsabilités et la
sensibilisation aux domaines clés à risques, vous générerez une
meilleure compréhension et application des contrôles de sécurité
que vous avez mis en place. Ce qui vous permettra de créer un
environnement métier sécurisé.
6
Réagir à – et se remettre – d’attaques de sécurité complexes
Démontrer et documenter la valeur des investissements
dédiés à la sécurité
Il est clair que votre organisation devra trouver les fonds nécessaires
dans son budget pour créer et gérer un programme de sécurité
efficace. Dans la mesure où il est très difficile de valoriser les
attaques qui n’ont pas eu lieu, il est recommandé de communiquer
en permanence sur ce que vous faites et pourquoi c’est important.
En rendant compte des activités importantes qui ont ou auraient
pu pénétrer les systèmes et les données critiques, par exemple,
vous démontrez la valeur des investissements dans la technologie
de sécurité, identifiez les lacunes, arrêtez les attaques en cours,
découvrez des opportunités de rationalisation et inspirez la
confiance dans votre approche.
49
%
des responsables informatiques avouent être
dépassés par l’incapacité à mesurer l’efficacité
de leurs efforts de sécurité actuels.4
Tout revoir pour s’assurer qu’il n’y a aucune lacune ni
chevauchement inutile
Lorsque vous travaillez dans un groupe, chacun étant responsable
de certains aspects d’un plan, il est facile de commettre l’erreur
de supposer que quelqu’un d’autre a couvert ce que vous n’avez
pas couvert. De même, il est tout aussi facile pour plusieurs
personnes de traiter la même chose. Vérifiez donc toujours la
clarté et l’exhaustivité finales – en veillant à prévoir les informations
de sécurité, l’analyse et la surveillance, par exemple – afin de
limiter toute complexité inutile, de réduire les coûts et de
rechercher des opportunités pour simplifier la surveillance
continue, la gestion et la prise de décision en temps réel par-delà
les technologies.
Des données clients volées dans la distribution sur plus de
18 mois ; au moins 45 millions d’enregistrements volés
Coût estimé : plus de 700 millions d’euros
Victime : enseigne nationale de magasins discount
Ce qui s’est passé : apparemment, 45 millions de numéros de
cartes de crédit et de paiement ont été volés dans le système de
l’entreprise, bien que le nombre réel d’enregistrements volés soit
difficile à déterminer, étant donné la durée et la nature de
l’incident. Ces données ont été vendues à des criminels puis
utilisées pour effectuer des achats frauduleux.
Pourquoi c’est arrivé : l’entreprise aurait collecté et stocké des
quantités de données personnelles inutiles et excessives pendant
des périodes trop longues et se fiait à une technologie de
chiffrement obsolète pour protéger les données. Les pirates ont
apparemment pu accéder initialement à la base de données
centrale grâce à des connexions sans fil non sécurisées dans
les magasins. Il s’est avéré par la suite que la société était en
infraction par rapport aux normes de paiement de l’industrie.
Les dégâts : il s’agit de la plus importante violation de ce genre à
obtenir une aussi vaste couverture médiatique. Outre les procès,
amendes conséquentes et coûts de résolution, l’atteinte à la
réputation et les coûts indirects sont difficilement mesurables.
Les leçons qu’il faut en tirer : une ré-évaluation régulière et
périodique de l’infrastructure et des risques pour les données
est une obligation car les menaces et technologies peuvent rendre
obsolètes des protections qui étaient auparavant acceptables.
A titre d’information uniquement. Les faits réels et dommages associés à
ces scénarios peuvent différer des exemples fournis. Estimation basée
sur des informations financières publiques et les articles publiés.
IBM Global Technology Services
Etape 3 : Préparer votre réponse face à
l’inévitable : une attaque complexe
Une fois vos stratégies, procédures et technologies de sécurité
implémentées au mieux de vos capacités, il convient de s’intéresser
à la façon dont vous allez gérer une violation, le cas échéant. En
réalité, comme un analyste a récemment observé, « la plupart
des administrateurs de sécurité et des responsables informatiques
dans les grandes entreprises comprennent que la question n’est
pas de savoir si une violation se produira mais plutôt quand
cela arrivera. »5
Mettre au point un plan de réponse détaillé et coordonné
Une organisation a besoin d’une stratégie et d’un processus à
l’échelle de l’entreprise pour gérer sa réponse à un incident. Si
vous avez déjà mis en place un plan, l’avez-vous testé récemment
et en avez-vous déterminé l’efficacité ?
Votre plan de réponse à un incident doit indiquer comment arrêter
une attaque, identifier ce qui est compromis (le cas échéant) et
calculer l’incidence financière et sur la réputation. Il doit également
comprendre des instructions pour communiquer avec les employés,
toute personne dont les informations peuvent être compromises
et les médias.
Assurez-vous d’avoir accès aux ressources et outils
requis pour répondre rapidement
Plus vous mettez de temps à remédier à une attaque, plus elle
est susceptible de causer des dommages et donc d’être coûteuse.
Qui plus est, environ 78% des cadres dirigeants qui ont répondu
à une enquête sur les risque de réputation sponsorisée par
IBM affirment qu’ils se remettent d’incidents relativement mineurs
(tels qu’une panne de site Web) en moins de six mois. Mais la
restauration de la confiance suite à une atteinte à la réputation
due à la cybercriminalité prend plus de temps, en partie parce
qu’il peut s’avérer plus difficile de faire passer le message selon
lequel le problème a été entièrement résolu.6
7
Avoir accès aux ressources ou
compétences nécessaires pour
répondre activement à des incidents
de sécurité et enquêter est essentiel
pour réduire leur impact.
Il est clair qu’avoir accès aux ressources ou compétences nécessaires
pour répondre activement à des incidents de sécurité et enquêter
est essentiel pour réduire leur impact. Si votre réputation est
vitale pour pouvoir mener vos affaires et que vous découvrez
que la nature de votre activité est susceptible d’augmenter le
risque d’attaques complexes, il convient peut-être d’envisager
une surveillance et une gestion continues des menaces. Cette
approche a recours à une technologie conçue pour améliorer la
défense, automatiser les réponses aux incidents et mener une
analyse scientifique par rapport à une vaste gamme de menaces.
Adopter une approche cohérente de la désignation des
responsabilités dans toute l’entreprise
Acceptez le fait que quasiment chaque entreprise sera un jour
victime d’une attaque complexe. Assurez-vous que votre plan
de réponse définit qui fait quoi – et comment chacun partagera
les informations. La coordination à l’échelle de l’entreprise est
vitale pour une détection, une résolution et un confinement
efficaces. Il est important que chaque personne concernée ait
un rôle à jouer – et le connaisse. Déterminez les mesures à prendre
par chacun pour se préparer à réduire la survenue – et limiter
la propagation – d’attaques complexes.
8
Réagir à – et se remettre – d’attaques de sécurité complexes
Une société de paiement subit une intrusion au cœur de son
activité, affectant 130 millions de clients
Coût estimé : jusqu’à 400 millions d’euros
Victime : société de paiement
Ce qui s’est passé : environ 130 millions de numéros de carte de
crédit et de paiement ont été volés dans un système de traitement
des paiements, résultant en des transactions frauduleuses.
Pourquoi est-ce arrivé : un logiciel malveillant aurait été introduit
dans le système de traitement et utilisé pour collecter les données
de paiement non chiffrées en transit pendant qu’elles étaient
traitées par la société, au cours du processus d’autorisation des
transactions. Les données de carte incluent les numéros de
carte, les dates d’expiration et d’autres informations de la bande
magnétique au dos de la carte de paiement.
Les dégâts : il s’agit là aussi d’une violation des données de
grande ampleur et visible qui a été très médiatisée. La société
aurait payé plus de 110 millions d’euros en coûts directs associés
aux procès, indemnisations et frais. Et la capitalisation boursière
aurait baissé de près de 400 millions d’euros au cours des trois
mois qui ont suivi l’événement.
Les leçons qu’il faut en tirer : une réponse directe et franche à la
crise a pallié la défection des clients. Les informations partagées
et provenant d’une association de normes de l’industrie ont
renforcé la sécurité de la société, lui permettant à terme de se
remettre de sa perte de valeur marchande.
A titre d’information uniquement. Les faits réels et dommages associés à
ces scénarios peuvent différer des exemples fournis. Estimation basée
sur des informations financières publiques et les articles publiés.
Etape 4 : Favoriser la sensibilisation aux
risques de sécurité
Sécuriser le réseau d’une entreprise devient infiniment plus
complexe à mesure que les informations proviennent de milliers
de périphériques et de dizaines de services Web publics. Une
enquête a révélé que 91% des utilisateurs de smartphones
d’entreprise se connectent à la messagerie de l’entreprise, mais
que seulement 1 sur 3 a l’obligation d’installer un logiciel de
sécurité mobile.7 Dans un tel environnement, l’accès est facile
pour toute personne concernée – y compris les cybercriminels.
Favoriser la sensibilisation aux risques dans toute
l’entreprise
Il est temps de renforcer la mission de sécurisation de l’entreprise,
depuis le personnel technique et ses machines jusqu’aux employés
de l’entreprise, quels qu’ils soient, et à toute personne amenée
à travailler avec l’entreprise. Comme chaque personne représente
une violation potentielle, elle doit également faire partie du plan.
Finalement, le succès repose sur la promotion d’une sensibilisation
aux risques, dans laquelle l’importance de la sécurité sous-tend
chaque décision et procédure à tous les niveaux de l’entreprise.
Cela signifie que les procédures de sécurité liées aux données
doivent devenir naturelles, comme fermer la porte à clé lorsque
vous quittez la maison.
S’assurer que chaque employé sait ce qu’il a à faire
Changer la culture d’une entreprise peut constituer un véritable
défi. Mais si vous commencez par communiquer l’importance
réelle de renforcer la sécurité et enseignez à chacun comment
reconnaître et rendre compte d’éventuels problèmes de sécurité,
vous faites déjà un pas dans la bonne direction.
IBM Global Technology Services
Les points forts de notre stratégie de sécurité
Chez IBM, nous recherchons constamment l’équilibre entre
améliorer le business et contrôler les risques. La réponse complète
de la société inclut des mesures au niveau de la technologie, des
processus et de la stratégie. Elle implique 10 pratiques essentielles.
1. Favoriser la sensibilisation aux risques, avec une tolérance
zéro au niveau de l’entreprise lorsque des collègues sont
négligents envers la sécurité. La direction doit en permanence
communiquer ces changements à tous les niveaux, tout en
mettant également en œuvre des outils permettant de suivre
cette progression.
2. Gérer les incidents et y répondre : il est essentiel qu’au niveau
de l’entreprise soit implémentées une analyse intelligente et
des fonctionnalités de réaction automatisées. La création
d’un système automatisé et unifié permet à une entreprise de
surveiller ses opérations – et de réagir plus rapidement.
3. Défendre l’espace de travail : chaque poste de travail, ordinateur
portable ou smartphone fournit une porte d’entrée potentielle
aux attaques malveillantes. Les paramètres de chaque
périphérique doivent être gérés et appliqués de manière
centralisée. Et les flux de données dans l’entreprise doivent
être classifiés et acheminés uniquement vers le cercle
d’utilisateurs défini.
4. La sécurité dès la conception : l’une des plus grandes
vulnérabilités des systèmes d’informations réside dans le fait
d’implémenter les services en premier, puis de les sécuriser
après coup. La meilleure solution consiste à intégrer la sécurité
dès le début, et à effectuer des tests réguliers pour s’assurer
de la conformité.
5. Rester clair et net : la gestion d’un méli-mélo de logiciels peut
s’avérer pratiquement impossible. Dans un système sécurisé,
les administrateurs peuvent effectuer le suivi de chaque
9
programme en cours d’exécution, et être sûrs qu’ils sont à
jour, et disposer d’un système complet pour installer toutes
les mises à jour et les correctifs au fur et à mesure de leur
publication.
6. Contrôler l’accès au réseau : les entreprises qui canalisent
les données enregistrées via des points d’accès auront plus
de facilités à détecter et isoler les logiciels malveillants.
7. La sécurité dans le Cloud : si une entreprise effectue une
migration de certains de ses services informatiques vers le
Cloud, ces services en côtoieront beaucoup d’autres, et
risquent même d’être confrontés à des fraudeurs. Il est donc
important de disposer des outils et procédures pour vous
isoler des autres et surveiller les éventuelles menaces.
8. Surveiller le voisinage : la culture de la sécurité d’une entreprise
doit s’étendre au-delà de celle-ci et établir de meilleures
pratiques parmi ses fournisseurs. Ceci est similaire au
processus de contrôle qualité de la génération passée.
9. Protéger les joyaux de la société : chaque entreprise doit
effectuer un inventaire de ses actifs vitaux, qu’il s’agisse de
données scientifiques ou techniques, de documents
confidentiels ou de données clients personnelles, et s’assurer
qu’ils soient traités en conséquence. Chaque élément prioritaire
doit être protégé, suivi et chiffré comme si la survie de
l’entreprise en dépendait.
10. Savoir qui est qui : les entreprises qui gèrent mal le « cycle de
vie des identités » opèrent sans visibilité et risquent d’être
vulnérables aux intrusions. Vous pouvez répondre à ce risque
en implémentant des systèmes méticuleux pour identifier les
personnes, gérer leurs droits d’accès et les révoquer dès que
les personnes quittent l’entreprise.
10
Réagir à – et se remettre – d’attaques de sécurité complexes
Favoriser la
sensibilisation
aux risques
Contrôler les
accès au réseau
Gérer les incidents
et y répondre
La sécurité
dans le Cloud
Défendre
l’espace de travail
Surveiller
le voisinage
La sécurité
dès la conception
Protéger les
joyaux de la société
Rester clair
et net
Savoir qui est qui
des attaquants ont pu utiliser des artifices de manipulation sociale
pour obtenir un accès illimité aux comptes ciblés. Ils ont même
contourné une authentification à deux facteurs pour convaincre
les opérateurs mobiles de déplacer la messagerie vocale d’un
utilisateur. La question n’est pas de savoir si votre entreprise en
sera victime, plutôt quand. En réalité, 61% des cadres dirigeants
qui ont participé à la récente enquête IBM sur le risque de
réputation et l’informatique ont affirmé que les violations et
vols de données ainsi que la cybercriminalité représentent la
plus grande menace pour la réputation des entreprises.8
La question n’est pas de savoir si votre entreprise
en sera victime, mais plutôt quand.
Figure 1. 10 pratiques essentielles : un programme de sécurité réussi
parvient à atteindre un équilibre entre flexibilité et innovation tout en conservant des
garde-fous cohérents qui sont compris et appliqués dans toute l’organisation.
N’hésitez pas demander de l’aide
N’attendez pas que votre société devienne
une victime : commencez dès aujourd’hui
IBM X-Force a signalé un peu plus de 4 400 nouvelles
vulnérabilités liées à la sécurité au premier semestre 2012. En
supposant que cette tendance s’est poursuivie sur le reste de
l’année, le nombre total de vulnérabilités prévu avoisinerait le
nombre record de 9 000, atteint en 2010. En outre, le taux de
vulnérabilités sans correctif au premier semestre 2012 était le
plus élevé depuis 2008, selon IBM X-Force.
De nombreuses organisations ont été confrontées aux
conséquences de fuites de mots de passe et de données
personnelles. En outre, ces attaques deviennent de plus en plus
complexes. Par exemple, en obtenant de petites quantités de
données personnelles vitales sur les sites de médias sociaux publics,
On peut facilement se sentir submergé devant ce qu’il faut mettre
en œuvre pour protéger son organisation contre les attaques
complexes. Cela implique en effet beaucoup de discussions, de
réflexion et de préoccupations. Mais il suffit de s’y prendre étape
par étape. Et vous n’avez pas besoin de faire le chemin seul.
Les consultants IBM Security Services peuvent vous aider à
planifier, mettre en œuvre et gérer quasiment tous les aspects de
votre stratégie de sécurité. Ce sont des professionnels extrêmement
compétents en matière de sécurité qui ont acquis et affûté leurs
connaissances à la fois dans les secteurs privé et public, travaillant
dans la sécurité d’entreprise de pointe, les sections d’investigation
du gouvernement, la police, ainsi que dans la recherche et le
développement.
IBM Global Technology Services
Outre des services de conseil, IBM a aussi contribué à définir
des normes de responsabilité, fiabilité et protection en matière
de services de sécurité gérés depuis 1995. Ces services sont conçus
pour améliorer votre stratégie de sécurité, réduire votre coût
total de possession et démontrer votre conformité en confiant la
surveillance et la gestion de la sécurité à IBM, quel que soit le
type de périphérique ou de fournisseur, 24h/24 ou selon les besoins.
IBM Managed Security Services peut fournir l’expertise, les
outils et l’infrastructure dont vous avez besoin pour protéger
les données des attaques Internet 24h/24, souvent pour seulement
une fraction du coût nécessaire aux ressources de sécurité internes.
Commencez par une analyse gratuite de la sécurité de
votre entreprise
A présent, vous commencez probablement à vous rendre compte
du degré de vulnérabilité de votre société. Vous pouvez avoir
un meilleur aperçu grâce à l’analyse gratuite de la sécurité de
votre entreprise proposée par IBM Security Services. Voici
comment cela se passe : IBM analyse jusqu’à 10 adresses IP ou
un domaine Web de votre choix une fois par semaine, pendant
3 semaines, le tout gratuitement. Vous recevez une analyse détaillée
des vulnérabilités détectées – classées par niveau de gravité – ainsi
que des instructions pas à pas sur la façon d’y remédier. En outre,
durant la période d’analyse, vous aurez accès au portail
IBM Managed Security Services Virtual Security Operations
Centre et à toutes les informations de sécurité et sur les menaces
qu’il offre.
11
Que découvrirait une analyse de sécurité dans votre entreprise ?
Voici quelques exemples de résultats d’analyse de sécurité pour
plusieurs types d’organisations, montrant le nombre moyen de
vulnérabilités découvert juste après l’une des trois analyses
hebdomadaires consécutives. Il n’est pas surprenant de découvrir
que même les entreprises les plus sécurisées peuvent trouver
des lacunes importantes, parfois sur plusieurs fronts. Dans
l’environnement métier dynamique d’aujourd’hui, où les limites
n’existent plus, il est plus que probable que vous trouviez au
moins quelques vulnérabilités et lacunes.
Université
Compagnie d’assurances
Graves :
106
Graves :
86
Modérés :
7
Modérés :
11
Critiques :
23
Hébergeur Web
virtuel
Critiques :
17
Municipalité
Graves :
112
Graves :
112
Modérés :
20
Critiques :
38
Modérés :
20
Critiques :
9
Informations complémentaires
Pour en savoir plus sur la façon dont IBM Security Services peut
vous aider à réduire les coûts et augmenter votre protection
faces aux menaces complexes, prenez contact avec votre conseiller
ou partenaire commercial IBM ou consultez le site Web suivant :
ibm.com/services/fr
Pour vous inscrire et demander une analyse de sécurité gratuite,
rendez-vous sur le site : ibm.com/security-scan
Compagnie IBM France
17 Avenue de l’Europe
92 275 Bois-Colombes Cedex
La page d’accueil d’IBM est accessible à l’adresse :
ibm.com
IBM, le logo IBM, ibm.com et X-Force sont des marques d’International
Business Machines Corp. déposées dans de nombreuses juridictions réparties
dans le monde entier. Les autres noms de produit et de service peuvent être
des marques d’IBM ou d’autres sociétés. Une liste actualisée de toutes les
marques d’IBM est disponible sur la page Web « Copyright and trademark
information » à l’adresse suivante : ibm.com/legal/copytrade.shtml
Les autres noms de sociétés, de produits ou de service peuvent appartenir à
des tiers.
Le présent document contient des informations qui étaient en vigueur et
valides à la date de la première publication, et qui peuvent être modifiées
par IBM à tout moment. Toutes les offres ne sont pas disponibles dans tous
les pays dans lesquels IBM est présent.
Les exemples cités concernant des clients et les performances ne sont
présentés qu’à titre d’illustration. Les performances réelles peuvent varier
en fonction des configurations et des conditions d’exploitation spécifiques.
IBM ne donne aucun avis juridique, comptable ou financier, et ne garantit
pas que ses produits ou services sont conformes aux lois applicables. Les
utilisateurs sont seuls responsables du respect des lois et réglementations de
sécurité en vigueur, en particulier les lois et réglementations nationales.
1
Ponemon Institute LLC, The Impact of Cybercrime on Business: Studies of IT
practitioners in the United States, United Kingdom, Germany, Hong Kong and Brazil
sponsored by Check Point Software Technologies, mai 2012.
2
IBM X-Force, 2012 Mid-year Trend and Risk Report, septembre 2012.
3
Voir la remarque 1 ci-dessus.
4
Security Intelligence Can Deliver Value Beyond Expectations And Needs To Be
Prioritized, une enquête réalisée par Forrester Consulting pour le compte
d’IBM Global Technology Services, mai 2012.
5
Publication de blog : ’Okay, Breaches Are Inevitable: So Now What Do We Do?’
par Paula Musich, Current Analysis, 20 juillet 2012.
6
IBM Global Technology Services, Reputational risk and IT, septembre 2012.
7
Kaspersky Labs, Enterprise Mobile Security Survey, décembre 2010.
8
Voir la remarque 6 ci-dessus.
© Copyright IBM Corporation 2013
Pensez à recycler ce document
SEW03029-FRFR-00
Documents connexes
Consequences d`une mauvaise alimentation
Consequences d`une mauvaise alimentation
Cliquez ici pour télécharger les diapositives de cet exposé.
Cliquez ici pour télécharger les diapositives de cet exposé.
4-publi CLUB LSA 06-2013.indd
4-publi CLUB LSA 06-2013.indd
Pensez, Et passez à corrigez, signez aut e chose: IBM se charge de
Pensez, Et passez à corrigez, signez aut e chose: IBM se charge de
La méthodologie IDEF0
La méthodologie IDEF0
2013 offre de stage v2
2013 offre de stage v2
1er Cours: Qu`est ce que l`informatique
1er Cours: Qu`est ce que l`informatique
Assistanat commercial - Commercial(e) grands comptes
Assistanat commercial - Commercial(e) grands comptes
Visioboard : commande d`ordinateur par le regard
Visioboard : commande d`ordinateur par le regard
intro-securité-info
intro-securité-info
Téléchargement
publicité