RSSI et les défis de la sécurité

Haut niveau de sécurité des infrastructures et respect des bonnes pratiques pour garantir l’intégrité des données sensibles, les challenges ne manquent pas et sont nombreux. Retour sur le rôle des RSSI.

La vague des audits de sécurité et des tests d’intrusion

Depuis plus de deux ans, de nombreuses entreprises, surtout les grands comptes, réalisent des audits et des tests d’intrusions. « Dans le cas du test d’intrusion, on se met du côté de l’attaquant, on tente de pénétrer le système, on cherche la faille. Pour l’audit, on étudie toutes les lignes de code de l’application, on échange avec les équipes IT, on observe l’état des serveurs et des processus en place » souligne Christophe Jodry. La différence est fondamentale. Les cursus de pentesters explosent en France, « on forme d’abord les attaquants plutôt que les défenseurs ». Le pentester remonte toujours une faille, même minime.

Des tests d’intrusion en augmentation

Pourquoi les entreprises augmentent ces tests ? La communication réalisée autour de la sécurité y est pour quelque chose, elle contribue évidemment à cet effet et commence à porter ses fruits, « en tant que RSSI, le buzz fait autour du sujet de la sécurité nous aide énormément » commente Christophe Jodry.

Les RSSI semblent se faire enfin entendre et les Directions prennent peur face aux nombreuses attaques « il y a vraiment une différence au sein des Directions, le discours d’alerte des RSSI commence à être écouté, de plus les tests d’intrusion durent une dizaine de jours et permettent de rassurer, c’est une étape indispensable » explique Christophe Jodry.

La fonction de RSSI est arrivée bien plus tardivement en France que dans le monde anglo-saxon, « la prise de conscience fut longue, nous n’avons pas été immédiatement une cible privilégiée, mais maintenant nous le sommes » poursuit le RSSI.

L’année 2014 a été une année charnière pour la sécurité et les RSSI, en raison des deux grandes failles majeures autour du SSL, « ce protocole qu’on croyait invincible, s’est écroulé ». Tout le monde fut concerné, du particulier à la grande entreprise.

(((IMG8080)))

Audit quand tu nous tiens

Les audits de sécurité sont la plupart du temps liés à une pression légale et réglementaire de mise en conformité. Souvent plus longs à mettre en place, ces audits passent tout au crible, la technique, l’organisationnel, le fonctionnel…

Aujourd’hui, le RSSI passe son temps à auditer son site ou à être audité, c’est devenu une part essentielle du métier. Runiso accepte également de recevoir les auditeurs sécurité des clients qui souhaitent voir les datacenters. Cette transparence est un atout supplémentaire.

Ne pas rester sur ses acquis

Les RSSI aujourd’hui ne peuvent plus rester sur leurs acquis technologiques, au contraire, il leur est indispensable de pousser sans cesse la réflexion, « cela nous oblige à être méfiants envers tous les protocoles, les technos, l’organisation, nous assistons à une vraie et réelle remise en question » complète Christophe Jodry. Les RSSI sont devenus des gestionnaires du risque, « en effet, nous sommes constamment en veille ».

Comment identifier les failles ? Le RSSI est formel, sur ce point, il y a plusieurs axes. Faire de la veille de vulnérabilités est la priorité, en la réalisant soi-même ou en la confiant à des prestataires qui travaillent sur un périmètre précis de technologies et alertent immédiatement.

Le scan est aussi devenu une activité autour de la sécurité très porteuse, « nos applications, nos serveurs, nos actifs sont scannés afin de détecter les problèmes et les corriger ». Les RSSI doivent se prémunir contre cette nouvelle force de frappe quotidienne, « plus votre système est à jour et moins vous êtes vulnérables ».

Mais les métiers freinent souvent les actions de mise à jour car ils n’envisagent pas d’indisponibilité du système, « le marketing n’est pas formé à la sécurité », et pourtant, c’est devenu une nécessité. Et les menaces internes ? Revenons sur les menaces liées aux utilisateurs ayant accès à tous les services de Cloud et au BYOD, « cet aspect est un vrai cauchemar pour les RSSI, la solution n’a pas encore été trouvée ».