Thales : « Concentrons-nous sur les fondements de la sécurité IT et les applications métiers »
Assises de la Sécurité : Le pôle cyber-défense du groupe d’électronique (défense, transports, aéronautique) préconise de restreindre le périmètre de sécurité IT à l’essentiel dans les infrastructures complexes et d’élargir progressivement la protection.
On parle souvent d’attaques de type APT (acronyme d’Advanced Persistent Threats en anglais) pour souligner le degré de sophistication.
Peut-être trop, estime Stanislas de Maupeou, Directeur en charge de la cyber-défense pour le compte de Thales.
« On cherche des choses très complexes alors que les fondations ne sont pas présentes…Cela fait mal au coeur de le dire encore en 2011. »
Selon cet expert en cyber-sécurité (ex-CERTA), les mots de passe d’administration des systèmes d’information demeurent souvent « triviaux » et les applications métiers continuent de tourner sous Windows NT4 (un ancien environnement OS serveur de Microsoft considéré comme vulnérable).
Lors d’un atelier sur le thème de la cyber-criminalité (une introduction à l’édition 2011 des Assises de la sécurité IT à Monaco), Stanislas de Maupeou s’étonne encore de la « naiveté » persistante des responsables informatiques en termes de sécurité IT.
Il considère que l’on se focalise davantage sur les application Web aux dépens des applications métier. « Les DSI sont-elles documentées ? Qui les maintient ? Qui les met à jour ? »
Autre réflexion avancée : la sécurité représente bel et bien « un coût » (solutions, hommes).
« C’est un non-sens de penser que l’on va s’affranchir de personnes compétentes et expérimentées », considère Stanislas de Mapeou. « L’analyse des logs demeure un outil essentiel…Il faut des personnes formées même si c’est un travail ingrat. »
La sécurité IT serait « un modèle à revoir » dans le sens de la prévention qui « apporterait de grands résultats ».
Compte tenu de la difficulté de superviser globalement des systèmes complexes, le « Mr Cyber-défense » de Thalès préconise « un périmètre plus restreint correspondant aux applications métiers critiques de l’entreprise » puis élargir progressivement le cercle de protection.
(lire la suite en page 2)