Se connecter
Inscription
Mot de passe perdu
Publié le 02/11/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Honnêtement ? Halloween ne me fait ni chaud ni froid. D'abord parce que je suis Britannique et ensuite parce que je n'aime pas partager mes bonbons avec les autres sans raison valable. Mais alors que je me préparais mentalement à m'enfermer chez moi le 31 octobre, en tirant les rideaux et en prétendant qu'il n'y avait personne à la maison, je me suis soudain rappelé qu'en tant qu'expert en sécurité, je peux apprendre quelque chose de cet événement sinistre.
Comme mes collègues nord-américains l'expliquent, les enfants cherchent à faire peur aux adultes avec l'expression « une farce ou une gâterie! ». Vous pouvez soit vous faire maudire, soit acheter votre tranquillité avec des bonbons (si vous vivez dans un quartier branché : des tortillas au quinoa maison).
Dans la pratique, tout le monde opte pour les « bonbons », alors qu’il est parfois profitable d’être terrifié. En effet, si nous ne sommes pas prêts à avoir peur de temps en temps, nous devenons complaisants – tant sur le plan personnel qu'organisationnel – ou bien nous paniquons au premier problème.
Lorsque nous faisons preuve de complaisance, nous sommes plus ou moins conscients du danger, mais nous pensons être en sécurité grâce aux mesures prises – pour autant que nous effectuions régulièrement les mises à jour que publient les fournisseurs toutes les huit à douze semaines. Dans ce cas, quelle est la pire chose qui puisse nous arriver ? La réponse, si nous sommes vraiment honnêtes avec nous-mêmes, c’est que les activités quotidiennes de l’entreprise s’effondrent subitement en cas de d’attaque. Le résultat ? Une atteinte à la réputation, une persécution via la réglementation RGPD et un conseil d'administration qui vous force gentiment mais fermement à envisager un nouvel emploi (avec une mauvaise référence en plus).
Si nous paniquons, nous imaginons le pire, nous craignons que chaque attaque de réseau soit une attaque DDoS, nous mettons à jour les systèmes avant d'avoir évalué leur impact sur les systèmes de production et nous empêchons nos équipes de développement de déployer quelque chose de nouveau (parce qu'elles n'ont pas suivi le plan en 64 étapes présenté il y a cinq ans pendant une réunion nocturne, car le patron avait demandé la veille à quoi ressemblait le processus de développement sécurisé). Quel est le pire qui puisse arriver dans ce cas ? Paralysie, méfiance et une histoire d’hôpital qui se moque de la charité lorsque votre organisation ne peut pas innover aussi vite que ses concurrents. Et cela débouche aussi sur une discussion avec le comité de direction, qui remet en question votre travail en raison de votre complaisance.
Bien sûr, il y a un juste milieu. Nous devons être prêts à réagir, mais aussi à favoriser le changement. Comment ? Nous devons nous permettre d'avoir peur. Quand nous sommes exposés à quelque chose de nouveau, nous ressentons tous une décharge d'adrénaline. Je ne plaide pas en faveur de l'ouverture de tous les systèmes pour que n’importe qui puisse semer la dévastation dans votre entreprise. Ce serait à peu près la même chose que d'aller à la cave en pyjama avec juste une bougie, et cela alors que tous vos amis ont déjà disparu après avoir fait de même. Mais vous ne devez pas hésiter à prendre le contrôle et, surtout, à vous y préparer.
La première chose à faire est d’effectuer une analyse des risques. Quels sont les systèmes, les données, les personnes et les processus qui ont le plus d'importance pour votre entreprise si vous êtes attaqué ou compromis ? Quel en sera l’impact ? Une fois que vous le savez, vous pouvez décider où renforcer votre défense. Basez-vous sur les types d'attaques ou d'attaquants les plus probables. N'y attachez pas trop d'importance non plus, car rien ne se déroule jamais comme prévu. Pour faire face à l'imprévu, vous pouvez prendre certaines mesures. Par exemple, vous pouvez engager une équipe d'intrusion ou organiser une session de brainstorming en interne. Dans ce dernier cas, veillez à ce que tous les départements de l'entreprise soient représentés : RH, juridique, commercial, ... En confrontant des points de vue différents, vous acquerrez des connaissances que vous n'auriez jamais pu avoir autrement.
Cela peut sembler contre-productif, mais une grande partie de nos préparatifs ne doivent pas forcément être proactifs. Ils doivent aider les gens à réagir rapidement lorsque les choses tournent mal.
La question n’est pas de savoir si nous pouvons être attaqués mais quand nous le serons. Dès que nous en prenons conscience et que nous savons que faire dans cette situation, chacun se sent bien plus à l'aise. Il faut expliquer à tout le monde, du CEO à la réceptionniste, ce à quoi il faut faire attention et ce qu'il convient de faire. Souvent, le « que faire » signifie que « quelque chose » doit être signalé. Mais s'il n'y a pas de processus, les gens n'ont pas la possibilité d’agir comme il le faut, et ils sont paralysés ou paniquent. Deux réactions à éviter à tout prix.
Le plus important ? Automatiser ! Les gens ne peuvent effectuer qu'un nombre limité d'analyses sur une période donnée. Les machines, en revanche, ne peuvent pas prendre de décisions sensées – bien que l'intelligence artificielle et l'apprentissage automatique soient en train de changer la donne. Mais les machines peuvent agir de manière cohérente et rapide. Même si elles sont en mesure d'agir rapidement, c'est à vous de décider. Est-il plus important de maintenir les systèmes de vente en fonction ou de vous attaquer immédiatement au logiciel malveillant ? La réponse dépend de votre analyse des risques. Les machines n’excellent pas non plus à anticiper l'inattendu – vous devez donc réfléchir à ce qu'elles doivent surveiller. Elles ne voient pas tout non plus, raison pour laquelle vos employés ne sont pas près d’être mis au placard. Heureusement pour eux, car il est déjà rempli de zombies, de loups-garous et de vampires…
Mike Bursell
Chief Security Architect
Red Hat
Comme mes collègues nord-américains l'expliquent, les enfants cherchent à faire peur aux adultes avec l'expression « une farce ou une gâterie! ». Vous pouvez soit vous faire maudire, soit acheter votre tranquillité avec des bonbons (si vous vivez dans un quartier branché : des tortillas au quinoa maison).
Dans la pratique, tout le monde opte pour les « bonbons », alors qu’il est parfois profitable d’être terrifié. En effet, si nous ne sommes pas prêts à avoir peur de temps en temps, nous devenons complaisants – tant sur le plan personnel qu'organisationnel – ou bien nous paniquons au premier problème.
Lorsque nous faisons preuve de complaisance, nous sommes plus ou moins conscients du danger, mais nous pensons être en sécurité grâce aux mesures prises – pour autant que nous effectuions régulièrement les mises à jour que publient les fournisseurs toutes les huit à douze semaines. Dans ce cas, quelle est la pire chose qui puisse nous arriver ? La réponse, si nous sommes vraiment honnêtes avec nous-mêmes, c’est que les activités quotidiennes de l’entreprise s’effondrent subitement en cas de d’attaque. Le résultat ? Une atteinte à la réputation, une persécution via la réglementation RGPD et un conseil d'administration qui vous force gentiment mais fermement à envisager un nouvel emploi (avec une mauvaise référence en plus).
Si nous paniquons, nous imaginons le pire, nous craignons que chaque attaque de réseau soit une attaque DDoS, nous mettons à jour les systèmes avant d'avoir évalué leur impact sur les systèmes de production et nous empêchons nos équipes de développement de déployer quelque chose de nouveau (parce qu'elles n'ont pas suivi le plan en 64 étapes présenté il y a cinq ans pendant une réunion nocturne, car le patron avait demandé la veille à quoi ressemblait le processus de développement sécurisé). Quel est le pire qui puisse arriver dans ce cas ? Paralysie, méfiance et une histoire d’hôpital qui se moque de la charité lorsque votre organisation ne peut pas innover aussi vite que ses concurrents. Et cela débouche aussi sur une discussion avec le comité de direction, qui remet en question votre travail en raison de votre complaisance.
Bien sûr, il y a un juste milieu. Nous devons être prêts à réagir, mais aussi à favoriser le changement. Comment ? Nous devons nous permettre d'avoir peur. Quand nous sommes exposés à quelque chose de nouveau, nous ressentons tous une décharge d'adrénaline. Je ne plaide pas en faveur de l'ouverture de tous les systèmes pour que n’importe qui puisse semer la dévastation dans votre entreprise. Ce serait à peu près la même chose que d'aller à la cave en pyjama avec juste une bougie, et cela alors que tous vos amis ont déjà disparu après avoir fait de même. Mais vous ne devez pas hésiter à prendre le contrôle et, surtout, à vous y préparer.
La première chose à faire est d’effectuer une analyse des risques. Quels sont les systèmes, les données, les personnes et les processus qui ont le plus d'importance pour votre entreprise si vous êtes attaqué ou compromis ? Quel en sera l’impact ? Une fois que vous le savez, vous pouvez décider où renforcer votre défense. Basez-vous sur les types d'attaques ou d'attaquants les plus probables. N'y attachez pas trop d'importance non plus, car rien ne se déroule jamais comme prévu. Pour faire face à l'imprévu, vous pouvez prendre certaines mesures. Par exemple, vous pouvez engager une équipe d'intrusion ou organiser une session de brainstorming en interne. Dans ce dernier cas, veillez à ce que tous les départements de l'entreprise soient représentés : RH, juridique, commercial, ... En confrontant des points de vue différents, vous acquerrez des connaissances que vous n'auriez jamais pu avoir autrement.
Cela peut sembler contre-productif, mais une grande partie de nos préparatifs ne doivent pas forcément être proactifs. Ils doivent aider les gens à réagir rapidement lorsque les choses tournent mal.
La question n’est pas de savoir si nous pouvons être attaqués mais quand nous le serons. Dès que nous en prenons conscience et que nous savons que faire dans cette situation, chacun se sent bien plus à l'aise. Il faut expliquer à tout le monde, du CEO à la réceptionniste, ce à quoi il faut faire attention et ce qu'il convient de faire. Souvent, le « que faire » signifie que « quelque chose » doit être signalé. Mais s'il n'y a pas de processus, les gens n'ont pas la possibilité d’agir comme il le faut, et ils sont paralysés ou paniquent. Deux réactions à éviter à tout prix.
Le plus important ? Automatiser ! Les gens ne peuvent effectuer qu'un nombre limité d'analyses sur une période donnée. Les machines, en revanche, ne peuvent pas prendre de décisions sensées – bien que l'intelligence artificielle et l'apprentissage automatique soient en train de changer la donne. Mais les machines peuvent agir de manière cohérente et rapide. Même si elles sont en mesure d'agir rapidement, c'est à vous de décider. Est-il plus important de maintenir les systèmes de vente en fonction ou de vous attaquer immédiatement au logiciel malveillant ? La réponse dépend de votre analyse des risques. Les machines n’excellent pas non plus à anticiper l'inattendu – vous devez donc réfléchir à ce qu'elles doivent surveiller. Elles ne voient pas tout non plus, raison pour laquelle vos employés ne sont pas près d’être mis au placard. Heureusement pour eux, car il est déjà rempli de zombies, de loups-garous et de vampires…
Mike Bursell
Chief Security Architect
Red Hat
Plus d'articles dans cette catégorie
18/07/2024 @ 12:00:53
Poster un commentaire
Consoles
Jeux Vidéos
Mobile
Google
Matériel
