SÉCURITÉ INFORMATIQUE Négliger de planifier la sécurité peut causer de mauvaises surprises, tout le monde s’entendra là-dessus. Mais connaît-on vraiment le coût des correctifs à apporter à la suite d’un incident?
En matière de TI, les dirigeants manifestent un intérêt certain pour les solutions procurant des avantages tangibles. Qu’il s’agisse de réduire les coûts, d’améliorer les processus ou d’accroître sa clientèle, les gestionnaires sont beaucoup plus enclins à adopter des technologies permettant d’obtenir un rendement rapide de l’investissement. On ne saurait les en blâmer, d’ailleurs.
Par contre, s’il est une chose que l’on a tendance à laisser pour compte dans le calcul du rendement, c’est bien la prévention. En sécurité de l’information, il s’agit d’un facteur pouvant exercer un impact majeur sur une organisation, et ce, à plusieurs points de vue. Une entreprise bien protégée peut réaliser d’importantes économies.
Un réseau privé infecté cette année par un ver informatique a fourni une démonstration très nette de ce principe. Les sites physiques du réseau que l’on avait pris la précaution de protéger n’ont pas été touchés, mais ceux dont la sécurité n’avait pas été adéquatement planifiée ont subi de lourdes conséquences.
Des spécialistes de la sécurité ont été appelés d’urgence sur les lieux afin de trouver la source de l’infection. Une fois cet objectif atteint, il a fallu contenir le mal à une zone restreinte du réseau, et installer des outils permettant de juguler l’infection. En outre, il a été nécessaire de faire une analyse de chaque ordinateur à l’aide d’outils spécialisés. Les spécialistes venus à la rescousse ont mis cinq jours complets de travail – 24 heures sur 24 – afin d’accomplir ces tâches.
À elle seule, la désinfection a coûté presque aussi cher que la mise en œuvre de mesures de sécurité dans les sites protégés, c’est-à-dire l’installation de pare-feu, de systèmes de détection d’intrusion, d’antivirus et de consoles de corrélation d’incidents, ainsi que la mise en place d’une politique de sécurité, suivie de l’implantation de processus et de contrôles comme la définition des rôles et le plan de réponse aux incidents. Évidemment, ce dernier constitue un élément critique.
Ces trois éléments de protection (les mesures de base, la politique de sécurité et les processus) sont absolument essentiels. Une entreprise qui n’aurait qu’un ou deux de ceux-ci ne pourrait bloquer efficacement une attaque comme ont réussi à le faire les sites protégés de ce réseau. Simples à mettre en œuvre, ils peuvent éviter d’avoir à entreprendre des opérations de récupération onéreuses, qui n’ont pas été prévues au budget.
Sans compter les inconvénients découlant de l’interruption des activités et du service, les renseignements personnels tombés entre les mains de personnes mal intentionnées, la perte de contrats et l’atteinte à la réputation de l’entreprise. Et que dire des frais d’enquête, du recours aux avocats, des poursuites judiciaires…
En bout de piste, il existe une règle fort simple en cette matière : la réaction coûte normalement plus cher que la prévention. Les chefs d’entreprise doivent avoir cette règle en mémoire au moment d’évaluer les coûts et les avantages de la sécurité des données. L’analyse de risque et le coût de la réaction sont des facteurs qui ne peuvent être négligés.
