Pour gérer vos consentements :
Actualités: ENTREPRISE

Comment traiter de manière économique le problème croissant de la mise en conformité liée à la sécurité

Stephan Mesguich, Tufin (c) Gérard Clech

Par Stephan Mesguich, Vice President EMEA de Tufin Technologies

Dans le climat actuel, caractérisé par la restriction des coûts informatiques, la plupart des budgets (y compris le budget du service chargé de la sécurité informatique) fait l’objet de constantes révisions, généralement à la baisse. Parallèlement, pour compliquer les choses, le nombre d’exigences légales et celles liées à la conformité ne cesse de croître.

Cet environnement rend la tâche de l’administrateur ou du gestionnaire informatique d’autant plus difficile qu’ils doivent régulièrement composer avec une multitude de systèmes et d’environnements réseau différents.

Si aujourd’hui les environnements informatiques et les réseaux hétérogènes sont monnaie courante, et font partie intégrante de toute fonction liée à la sécurité informatique, il n’en reste pas moins que satisfaire aux besoins croissants en matière de mise en conformité de la sécurité, peut s’avérer un exercice coûteux.

Tout n’est-il pas question de processus d’audit ?

Pas forcément. La plupart des processus d’audit liés à la sécurité informatique se limitent souvent à une vérification standard, en particulier en raison de ressources nécessaires à la réalisation d’audits de sécurité personnalisés.

Bien évidemment, dans l’idéal, les procédures de test des audits informatiques seraient automatisés (afin d’économiser les ressources et donc les coûts) et ultra souples, pour pouvoir couvrir la plupart les types de tests, notamment les tests ciblés, externes, internes, aveugles et en double aveugle.

Les tests externes ciblent les serveurs et périphériques d’une entreprise visibles de l’extérieur, par exemple pour les serveurs de noms de domaine, les serveurs d’emails, les serveurs Web et les firewalls, l’objectif est de déterminer la possibilité d’une intrusion et l’ampleur que pourrait prendre l’attaque si un intrus parvenait à s’introduire dans le système.

Les tests aveugles, quant à eux, simulent les actions et procédures d’une attaque réelle en limitant au maximum les informations fournies au préalable à la personne ou l’équipe chargée de réaliser le test. Les tests en double aveugle ajoutent une étape supplémentaire au test aveugle. Dans le cas d’un test en double aveugle, seules une ou deux personnes au sein de l’entreprise sont mises au courant de la réalisation du test.

Les tests aveugles et en double aveugle (bien que souhaitables) peuvent se révéler coûteux, en grande partie en raison du coût relativement élevé du travail humain qu’ils requièrent.

Les tests informatiques (parfois appelés tests automatisés) sont considérablement moins coûteux, les coûts étant souvent fixes. Ainsi, quel que soit le nombre d’utilisations du système, les coûts restent sensiblement les mêmes.

Le coût du travail humain, par contre, est généralement fixe et marginal, la partie marginale augmentant avec l’utilisation du système.

Les professionnels de la sécurité informatique sont donc naturellement tenus par ces coûts fixes et marginaux, qui font si souvent l’objet de discussions entre collègues comptables des différents départements, y compris celui des opérations informatiques.

Malheureusement, le coût de la conformité (et je parle ici des règles imposées par les normes PCI DSS, Sarbanes-Oxley, Basel II, etc.) est en augmentation et, compte tenu de la nécessité de produire des rapports à tout moment, il peut facilement devenir difficile à contrôler si la main d’œuvre réellement nécessaire dépasse les prévisions.

La situation est d’autant plus complexe que les fonctions d’audit internes et externes de nombreuses entreprises deviennent de plus en plus techniques.

Cet aspect technique n’est en fait pas aussi positif qu’il pourrait sembler. En effet, les nouvelles recrues du secteur informatique doivent bien souvent s’impliquer davantage techniquement qu’ils ne le devraient, un investissement qui n’est pas nécessaire, tout comme il est inutile pour conduire une voiture de comprendre ce qui se passe sous le capot.

C’est à ce niveau que l’automatisation des firewalls et des systèmes de sécurité apparentés peut se révéler utile. En effet, si l’on retourne à l’essentiel, tous les processus d’audit peuvent être rapportés à un ensemble spécifique de questions. Bien sûr, la liste peut être longue, et peut impliquer plusieurs branches. Mais quoi qu’il en soit, la plupart du temps, il est possible de produire une liste.

Gérard Clech

Articles récents

« Apporter des solutions simples à des menaces complexes » : Entretien avec Benoit Juvin, Responsable Channel de Barracuda

Le marché de la cybersécurité continue de se transformer à un rythme effréné, poussé par…

2 jours années

Avec sa Partner Sales Engineer Community, Barracuda entend fédérer la communauté des revendeurs et MSP

Barracuda, spécialiste des solutions de cybersécurité « cloud-first », lance sa Partner Sales Engineer Community.…

2 jours années

Quand les déchets électroniques augmente 5 fois plus vite que la quantité de déchets recyclés.

La plupart des entreprises continuent de remplacer leurs équipements (ordinateurs, tablettes, smartphones) selon des cycles…

2 jours années

Distribution : Westcon-Comstor en croissance de 16% sur le 1er semestre 2024

Westcon-Comstor poursuit sa transition vers un modèle basé sur des revenus récurrents, s'appuyant notamment sur…

2 jours années

2,8 % de pertes de CA annuel : l’impact financier des cybermenaces pour les entreprises est connu

Dans le cadre d'une enquête mondiale regroupant 1 800 participants au total, 200 décideurs informatique…

2 jours années

Dell Tech Forum : à la découverte des dernières innovations IA de Dell

Lors du Dell Tech Forum, Dell Technologies est revenue sur les dernières avancées de sa…

3 jours années