Thales : « Concentrons-nous sur les fondements de la sécurité IT et les applications métiers »

On parle souvent d’attaques de type APT (acronyme d’Advanced Persistent Threats en anglais) pour souligner le degré de sophistication.

Peut-être trop, estime Stanislas de Maupeou, Directeur en charge de la cyber-défense pour le compte de Thales.
« On cherche des choses très complexes alors que les fondations ne sont pas présentes…Cela fait mal au coeur de le dire encore en 2011. »

Selon cet expert en cyber-sécurité (ex-CERTA), les mots de passe d’administration des systèmes d’information demeurent souvent « triviaux » et les applications métiers continuent de tourner sous Windows NT4 (un ancien environnement OS serveur de Microsoft considéré comme vulnérable).

Lors d’un atelier sur le thème de la cyber-criminalité (une introduction à l’édition 2011 des Assises de la sécurité IT à Monaco), Stanislas de Maupeou  s’étonne encore de la « naiveté » persistante des responsables informatiques en termes de sécurité IT.

Il considère que l’on se focalise davantage sur les application Web aux dépens des applications métier. « Les DSI sont-elles documentées ? Qui les maintient ? Qui les met à jour ? »

Autre réflexion avancée : la sécurité représente bel et bien « un coût » (solutions, hommes).

« C’est un non-sens de penser que l’on va s’affranchir de personnes compétentes et expérimentées », considère Stanislas de Mapeou. « L’analyse des logs demeure un outil essentiel…Il faut des personnes formées même si c’est un travail ingrat. »
La sécurité IT serait « un modèle à revoir » dans le sens de la prévention qui « apporterait de grands résultats ».

Compte tenu de la difficulté de superviser globalement des systèmes complexes, le « Mr Cyber-défense » de Thalès préconise « un périmètre plus restreint correspondant aux applications métiers critiques de l’entreprise » puis élargir progressivement le cercle de protection.

(lire la suite en page 2)