Nicolas Woirhaye : ' La technologie n'est pas la seule réponse aux problèmes de sécurité. '
Le directeur du Cert-Lexsi, centre de veille sur la sécurité, fait le point sur le traitement de ce problème par les entreprises.
' Les entreprises face à la cybercriminalité ', tel était le thème d'une conférence qui s'est tenue lors du salon Infosecurity. A cette occasion, le directeur du Cert-Lexsi, un organisme spécialisé dans
l'étude de la cybercriminalité, Nicolas Woirhaye a livré quelques préconisations.01net. : Parmi les risques pour les entreprises, vous citez les vols, les arnaques, les escroqueries, les sabotages ou encore les dénis de services. Quels moyens ont les entreprises pour s'en
prémunir ?
Nicolas Woirhaye : il faut d'abord arrêter de croire que la technologie est la seule réponse et que la sécurité n'est qu'une histoire de périmètre. Beaucoup d'entreprises installent des produits qu'elles ne prennent même pas la peine de configurer.Un exemple : un patron de PME dans le textile se retrouve avec une boîte magique totalement préconfigurée qui en plus sauvegarde les données. Or ça ne répondra pas à sa problématique. Ce qui compte pour lui, c'est sa base de clients.Il faut donc qu'il construise sa sécurité autour de la base de données : la sauvegarder dans un lieu distant en cas d'incendie, etc.Est-ce que les services hébergés qui se multiplient sont une meilleure réponse ?
En effet, la ' sécurité as a service ' est une meilleure réponse. Il vaut mieux acheter des compétences que des boîtes. Mais souvent un patron de PME préférera acheter une boite qu'il intégrera dans ses actifs plutôt que de payer un service. Malheureusement, c'est aussi un problème de culture typique de la France.D'autre part, la sécurité est beaucoup trop chère. C'est d'autant plus vrai pour les PME n'ont pas des moyens importants. D'ailleurs, pour un grand compte, mieux vaut investir dans l'embauche de deux ingénieurs créatifs plutôt que dans des technologies coûteuses et pas forcément appropriées.On le sait, un grand nombre de fuites sont le fait d'employés, comment lutter contre ce type de malveillance ?
La fuite d'information vient souvent d'employés indélicats, parfois mal licenciés ou dont l'entreprise n'a pas su voir la dangerosité. Quand on veut, on trouve toujours le moyen de faire sortir un document de l'entreprise, car il y a une multitude de portes. Comme on ne peut pas mettre des verrous à tous les niveaux, on peut utiliser la dissuasion, en disant que telle ou telle porte est protégée.Quoi qu'il en soit, en général on arrive à trouver d'où provient la fuite, car les salariés indélicats sont rarement des experts en informatique et ils ne savent pas cacher leurs traces.
Nicolas Woirhaye : il faut d'abord arrêter de croire que la technologie est la seule réponse et que la sécurité n'est qu'une histoire de périmètre. Beaucoup d'entreprises installent des produits qu'elles ne prennent même pas la peine de configurer.Un exemple : un patron de PME dans le textile se retrouve avec une boîte magique totalement préconfigurée qui en plus sauvegarde les données. Or ça ne répondra pas à sa problématique. Ce qui compte pour lui, c'est sa base de clients.Il faut donc qu'il construise sa sécurité autour de la base de données : la sauvegarder dans un lieu distant en cas d'incendie, etc.Est-ce que les services hébergés qui se multiplient sont une meilleure réponse ?
En effet, la ' sécurité as a service ' est une meilleure réponse. Il vaut mieux acheter des compétences que des boîtes. Mais souvent un patron de PME préférera acheter une boite qu'il intégrera dans ses actifs plutôt que de payer un service. Malheureusement, c'est aussi un problème de culture typique de la France.D'autre part, la sécurité est beaucoup trop chère. C'est d'autant plus vrai pour les PME n'ont pas des moyens importants. D'ailleurs, pour un grand compte, mieux vaut investir dans l'embauche de deux ingénieurs créatifs plutôt que dans des technologies coûteuses et pas forcément appropriées.On le sait, un grand nombre de fuites sont le fait d'employés, comment lutter contre ce type de malveillance ?
La fuite d'information vient souvent d'employés indélicats, parfois mal licenciés ou dont l'entreprise n'a pas su voir la dangerosité. Quand on veut, on trouve toujours le moyen de faire sortir un document de l'entreprise, car il y a une multitude de portes. Comme on ne peut pas mettre des verrous à tous les niveaux, on peut utiliser la dissuasion, en disant que telle ou telle porte est protégée.Quoi qu'il en soit, en général on arrive à trouver d'où provient la fuite, car les salariés indélicats sont rarement des experts en informatique et ils ne savent pas cacher leurs traces.
Votre opinion