La prévention est fondamentale et est généralement bien appréhendée par le
plus grand nombre. Le principe : faire tout ce qu'il faut pour se protéger. Elle
consiste le plus souvent à adopter la démarche suivante :
- Analyse des risques
- Définition d'une politique de sécurité
- Mise en œuvre d'une solution centrée sur un ou plusieurs firewalls.
- Audit de la solution
- Mises à jour
Le marché à ce jour couvre très bien cette approche : les cabinets de
conseils sont très présents sur l'analyse des risques. Les Intégrateurs
proposent et mettent place des solutions à tour de bras. Des sociétés se
spécialisent dans la réalisation d'audits de sécurité, d'autres effectuent de la
veille technologique en sécurité et permettent de déclencher les mises à jour
(généralement effectuées par l'intégrateur).
Détection
Le principe est d'être capable de détecter lorsque les mesures de prévention
sont prises en défaut. La détection, même si certains outils techniques
existent, est encore trop rarement intégrée aux infrastructures. Il est vrai que
les intégrateurs proposent souvent ces outils lors de la mise en place
d'infrastructures de connexion Internet ; mais leur déploiement reste marginal
en dehors de ces projets spécifiques. De plus, à l'heure actuelle un cruel
défaut de compétence est à déplorer. Il y à encore trop peu de personnes formées
à ce type d'outils. La détection exige un suivi permanent de l'état des système
à protéger et des mécanismes de diffusion des alertes générées.
Réaction
S'il est important de savoir qu'une attaque est en cours ou qu'une attaque a
réussi il est encore plus important de se donner les moyens de réagir à cet état
de fait. C'est l'aspect le plus négligé actuellement même au sein des acteurs
majeurs de la sécurité Informatique. Pourtant, il n'est pas possible d'oublier
les credo de tous les consultants en analyse de risque : " le risque zéro
n'existe pas " ou encore " il n'y a pas de sécurité absolue ". Il faudrait donc
toujours prévoir et se préparer au pire. Cela implique la mise en œuvre de
procédures d'exploitation spécifiques à la réaction en cas d'attaque, la
rédaction et le test d'un plan de continuité Informatique à utiliser en cas de
sinistre grave. Il est également primordial de se doter des outils permettant
d'une part de collecter toutes les informations pouvant être nécessaires en cas
de recours juridique. Un cadre doit aussi être prévu au niveau des
responsabilités ; de ce fait les contrats d'assurance devront prendre en compte
le risque représenté par les pirates. Le marché couvre très mal cet aspect à
l'heure actuelle. Il n'existe que très peu de sociétés proposant une offre
réelle en investigation d'incidents. Par ailleurs, même si certains cabinets de
juristes se spécialisent dans le droit de l'Internet, la couverture du risque
Informatique et la définition des " éléments de preuve " dans les affaires de
crimes informatiques restent encore floues.
Conclusion
La prise en compte des problématiques de sécurité est en cours en France
actuellement dans une vaste majorité d'entreprises mais pour l'heure les moyens
mis en œuvre ne sont pas toujours suffisants. Afin de supporter les entreprises
dans leur processus de sécurisation, le marché, en forte croissance, s'est
d'abord structuré dans le domaine de la Prévention. Néanmoins, de très
nombreuses questions restent encore sans réponse dès lors qu'il s'agit de
Détection et de Réaction. Ces deux domaines qui touchent à l'exploitation au
quotidien (ou encore opération) des infrastructures de sécurité sont encore
pleins de promesses mais aussi sources d'inquiétude pour les différents acteurs
de la sécurité informatique.
JB700
