BLOGUE – La sécurité constitue une préoccupation prioritaire pour les entreprises d’aujourd’hui. Un bris de la sécurité risque de paralyser votre société et de laisser vos clients en attente impatiente de service.
Combien de temps investissez-vous à la gestion des risques liés à la sécurité? Lors de la récente journée Red Hat tenue à Québec, David Senf, analyste et vice-président, infrastructure et nuage, à IDC Canada, a partagé certains résultats révélateurs d’une étude IDC portant sur les différents types de personnalité dans le contexte de la sécurité au Canada.
David Senf soutient que près de 60 % des chefs d’entreprise canadiens sont des défaitistes, de mauvais planificateurs qui sous-financent les TI ou encore des « dénialistes » qui pensent que leur technologie est plus à risque et qui dépensent trop d’argent dans le domaine de la sécurité sans définir clairement leur stratégie. Il n’est donc pas surprenant, toujours selon M. Senf, que les deux groupes se trouvent en tête de liste avec le plus grand nombre d’atteintes à la sécurité.
Les réalistes, lesquels représentent 25 % du groupe interrogé, qualifient la sécurité de leur organisation comme étant assez bonne, sont exposés à moins de violations de sécurité que la moyenne et s’efforcent d’améliorer leurs processus de gestion du risque. Les égoïstes, quant à eux, correspondant à 17 %, sont des chefs en matière de gestion de la sécurité et subissent le moins d’atteintes à la sécurité parce qu’ils investissent dans un personnel qualifié, dans la gestion du risque et dans la formation.
Vous vous demandez comment atteindre un niveau de confiance plus élevé à l’égard de vos systèmes? Voici quelques-unes des meilleures pratiques.
Choisir un partenaire fiable – Trouvez un partenaire pleinement engagé à offrir des solutions pour les technologies hybrides en nuage et les logiciels sur site en fonction des normes actuelles pour aider à simplifier l’intégration avec un vaste écosystème de partenaires, qu’il s’agisse de fournisseurs de matériel ou de fournisseurs indépendants de logiciels (FIL).
Pour trouver un partenaire de confiance, faites preuve de diligence raisonnable en posant des questions à votre fournisseur, notamment :
? Propose-t-il un programme de certification pour l’équipement et les logiciels de ses produits et solutions afin de permettre un soutien pour une vaste gamme de matériel et d’applications? De quelles certifications importantes à votre industrie s’agit-il (p. ex. Common Criteria, FIPS, PCI, FedRAMP, etc.)?
? Met-il en œuvre et soutient-il les normes ouvertes? Selon le 9e sondage annuel Future of Open Source Survey de Black Duck Software et North Bridge, 78 % des répondants ont déclaré utiliser des logiciels ouverts pour leurs activités comparativement à 42 % en 2010.
? Offre-t-il un soutien pour les technologies communes dans le but de rehausser la sécurité (p. ex. contrôle d’accès basé sur les rôles, surveillance, notification des incidents, contrôles d’accès comme SELinux, gestion d’identité et d’accès, etc.), la virtualisation, le stockage et les fonctionnalités en réseau?
? Quel genre de soutien et de services professionnels offre-t-il? Peut-il rapidement répondre aux questions et régler les problèmes?
? Quels outils de gestion adaptés aux différentes technologies infonuagiques et produits variés fournit-il? La plupart des clients cherchent une gestion et des outils qui conviennent aux nuages et aux produits et qui ne sont pas liés à une seule solution.
? Comment effectue-t-il la surveillance de sécurité et quel est son temps de réponse? Bénéficie-t-il d’une équipe de sécurité? Vous envoie-t-il des renseignements relatifs à la sécurité comme des mises à jour et des avis? La clé du succès réside dans une évaluation raisonnable du risque avant de choisir un modèle de déploiement infonuagique. Vous devriez aussi avoir des contrôles de sécurité appropriés en place. Identifiez vos préoccupations en matière de sécurité pour être en mesure de les rejeter ou de les valider et d’y remédier avec des contrôles compensatoires.
Connaître son réseau – Je suis toujours étonné quand je rencontre des clients potentiels et qu’ils me disent ne pas utiliser de logiciels ouverts lorsque je sais pertinemment qu’ils le font. Les solutions de gestion des ressources en réseau peuvent donner une vision globale de ce qu’utilise votre entreprise. L’époque où les systèmes et les logiciels étaient vérifiés une fois l’an est depuis longtemps révolue – une surveillance permanente peut accroître la confiance envers les systèmes et la position en matière de sécurité de votre organisation.
Examiner d’un œil critique ses systèmes – Vos partenaires doivent se soucier de vos systèmes comme s’ils leur appartenaient. Vous devriez avoir une équipe consacrée à la surveillance des communications essentielles qui sait comment obtenir des correctifs et les appliquer.
Faire des exercices pratiques de la procédure d’urgence – Un plan de gestion des risques dans lequel les rôles et les attentes sont clairement définis fait partie d’une pratique exemplaire. Ce plan doit s’appuyer sur une formation régulière pour que chaque membre de l’équipe comprenne son rôle et puisse discuter des domaines à améliorer avant qu’une crise survienne.
Une dernière réflexion : la gestion du risque requiert un effort commun. Chaque personne au sein de votre société doit s’engager à protéger vos précieux actifs. Instaurez un état d’esprit propice à la sécurité dans tout ce que vous faites.