La protection du SI déstabilise les DSI. Surabondantes, les clés de chiffrement ne répondent plus à la sécurisation du trafic réseau. Les experts hautement qualifiés sont rares et chers. Maîtriser l’externalisation n’est pas aisée. Les SOC (Security Operations Centers) internes nécessitent des budgets conséquents.

securité-IT-challenge-DSI_une

Clés de chiffrement et certificats numériques rendent-ils les DSI  impuissantes face à la sécurité ? C’est en tout cas un sentiment largement partagé. Bien qu’ils consacrent à la sécurisation de leurs systèmes d’information des budgets conséquents, les CIO admettent qu’ils ne sont pas à même de contrer la moitié des attaques.

En cause, selon une enquête Vanson Bourne : en premier lieu les clés de chiffrement et les certificats numériques.  Les responsables IT ne créditent pas leur fiabilité. En effet, ces solutions ne leur permettent pas de repérer le bon grain de l’ivraie et donc les attaques dissimulées sur les réseaux cryptés. Selon 90% des CIO interrogés, cette faiblesse  serait à l’origine des principales attaques dont ils ont été et seront victimes. Ce serait même une manne financière très juteuse pour les pirates.

L’agilité demandée aux départements IT, la méthode DevOps, l’entreprise de plus en plus mobile seraient aussi à l’origine de cette vulnérabilité. Le développement exponentiel des applications, e-devices, machines virtuelles, serveurs en Cloud, containers et du trafic crypté augmentent substantiellement le nombre de clés de chiffrement et de certificats numériques. En moyenne chaque organisation en possède plusieurs dizaine de milliers. Plus de la moitié des CIO avouent ne pas être aptes à en connaître leurs usages ni leur localisation. Pour Gartner, 50% des attaques d’ici 2017 seront effectués à partir des réseaux cryptés.

L’externalisation de la sécurité est une solution : oui… mais… 

Garantir la cybersécurité des organisations devient de plus en plus complexe et pèse sur les budgets qui, eux, ne suivent pas la courbe ascendante des risques. Et ces budgets consacrés à la cybersécurité ne sont pas forcément associer à des résultats comme l’a montré l’étude Vanson Bourne citée précédemment. Autre paramètre : les compétences sont rares, en tout cas hautement recherchées et selon une grille de salaires qui n’est pas forcément à la portée de toutes les entreprises.

Le recours à l’externalisation est donc une voie suivie par de nombreuses organisations.  Selon PAC, elles sont 79% à avoir entériné des contrats de services managés pour la sécurité de leur SI, avec des consultants externes sur site ou des solutions globales dans 34 % des cas. L’outsourcing est aussi appliqué à des problématiques spécifiques par 40 % des organisations.

Au rang des ‘’oui, mais…’’ : selon PAC, le recours ponctuel à des ressources externes est une approche rationnelle qui concilie budget et besoin en compétence. En revanche, si la DSI ne reste pas vigilante, cette solution ne répond pas à la nécessité d’une vision holistique et à long terme de la sécurité, incluant l’interne, l’ouverture du SI aux partenaires et fournisseurs de l’entreprise et le cycle de vie des données.

Un autre ‘’mais’’ de l’équation réside dans l’aspect contractuel et la transparence qui lient l’entreprise et son partenaire externe sécurité. Et pas uniquement. Il revient bien sûr à la DSI de garder une parfaite visibilité sur l’activité de ses prestataires. Mais en amont, la DSI doit d’abord travailler avec les métiers pour déterminer les zones les plus critiques des données, là où résident la valeur et l’activité business pour définir les règles des engagements de services, internes et outsourcés.

Quid des SOC, les Security Operations Centers ?

La forte augmentation des cyberattaques a fait naître un engouement pour le déploiement de SOC. Le Security Operations Center supervise la sécurité du SI, comme l’explique SIA Partners. En tant que centre opérationnel, il est chargé de détecter, analyser les menaces internes et externes, réduire les risques et trouver des réponses face aux intrusions du SI. Les SOC doivent être opérationnels 24h sur 24. Constitués d’experts en cybersécurité, les SOC ont pour périmètre d’intervention  la sécurité IT globale d’une organisation (solutions de sécurité, infrastructure, réseau, équipements et usages utilisateurs, processus, alerte  et réponse incidents).

Les SOC peuvent être internes aux entreprises, en tant que division de la DSI, parfois rattachés au RSSI. Elles restent des initiatives difficiles et coûteuses à mettre en œuvre, à maintenir. Les SOC sont aussi proposés à titre de service par une société tierce. C’est par exemple le cas des services SOC dédiés aux écosystèmes IoT du CERT-UBIK européen de Digital Security, filiale d’Econocom.

Les CERT (Computer Emergency Response Team), terme déposé aux USA ou son équivalent les CSIRT (Computer Security Incident Response Team)  ont une vocation plus large que les SOC avec des missions de veille, de prévention, de formation, d’élaboration de recommandations et de partage d’informations avec un écosystème.