PRD - Protection rapprochée des données : La paranoïa comme seule solution de défense ?

Les données informatiques, objets de discordes et de convoitises binaires, font aujourd'hui vivre la majeure partie des entreprises. En effet, les sociétés de toutes tailles voient les différents éléments les constituant reposer sur l'informatique. Parmi ces éléments : la comptabilité, la gestion des ventes, la représentation de ces entreprises via des sites vitrines, ainsi que la commercialisation de leurs produits à travers des sites marchands et bien plus encore. Certaines entreprises n'existent même que sur l'Internet.

Les nouvelles tendances technologiques et plus particulièrement la simplification de mise en œuvre matériels et logiciels de ces solutions, telles que les services de « Cloud » et les « CMS »> (Système de gestion de contenu) permettent aujourd'hui à la plus petite entreprise d'être présente sur la toile sans la moindre difficulté et presque sans connaissance informatique. La « Vulnérabilité » suit-elle la même tendance en devenant plus accessible ? Peut-on désormais s'inviter sur l'Internet sans en connaître les codes et sans recourir a un investissement conséquent pour protéger ses données ? Quels sont les risques auxquels nous nous exposons en ne prêtant pas attention aux règles élémentaires de sécurité ?

Répondre à ces questions pourrait sembler inutile, pour peu que l'on suive l'actualité. Personne, en effet, ne peut prétendre être à l'abri de voir ses données diffusées sur la toile ou d'avoir ses ordinateurs infectés par des « malwares ». Les attaques ciblent pour la plupart des victimes de façon aléatoire, il est donc inutile d'essayer de se voiler la face ou de ne pas se sentir concerné. Néanmoins certaines règles de bonnes conduites et politiques de sécurité permettent de réduire considérablement les risques. Or, si tout le monde admet pouvoir être potentiellement la victime d'un vol de données, d'une infection par un virus ou d'une diffusion non autorisée de données, il est important également de prévoir le risque de la simple perte de données provoquée par une erreur humaine ou matérielle. En outre, l'accroissement naturel de données produites par une entreprise justifie de penser systématiquement à effectuer des sauvegardes régulières et de prévoir des mécanismes de restauration ultra rapides pour réduire au minimum les périodes d'indisponibilité du système d'information. La seule attitude raisonnable à adopter est d'appliquer le principe de précaution en élaborant un « Plan de Reprise d'Activité ».

Compte tenu de toutes ces remarques, le fait d'accorder sa confiance en permettant à certains employés d'accéder à des données confidentielles, en exposant l'entreprise sur l'Internet et plus simplement d'utiliser les outils informatiques, peut mettre en péril ces entreprises si des précautions ne sont pas prises. Faut-il alors sombrer dans une paranoïa intensive pour éviter tout risque ? Heureusement, la réponse est Non.

La démarche rationnelle consiste plutôt à évaluer les risques : connaître les vecteurs d'attaques majeurs, analyser les causes, prévoir les conséquences et adopter les solutions adéquates. Si les risques augmentent à la même vitesse que les innovations progressent, les solutions de sécurité évoluent aussi et offrent une panoplie d'outils dédiés à la sécurité de l'entreprise et de ses données.

Les principaux vecteurs d'attaques sont au nombre de quatre : l'infection des ordinateurs par des « malwares », la perte de données causée par des pannes matériels et/ou des erreurs humaines, la fuite de données et enfin les attaques sur le Web à travers des failles de sites internet qui favorisent le vol d'informations critiques stockées dans les bases de données.

Ainsi, pour chaque vecteur d'attaque correspond une solution : les Antivirus, les systèmes de sauvegarde et de restauration rapides, les audits de sécurités Web et les outils de DLP (Data Leak Prévention).

Auteur : Jonathan Azria, Consultant Sécurité chez Athena Global Services, Malware Specialist pour ESET France.

Consulter le livre blanc d'Athena Global Services.

Voir l'ensemble des solutions pour les risques informatique proposées par inforisque.fr.