Gérer les risques aujourd'hui et demain

Didier Guyomarch (Zscaler) : « Il est très facile de cacher des cyberattaques modernes dans le trafic SSL... »

11-07-2017

Interview de Didier Guyomarch, directeur régional (Europe du sud) chez Zscaler, spécialiste de la sécurité dans le cloud. Il nous livre ses conseils pour bâtir une stratégie de cybersécurité en entreprise capable de tenir compte des grands enjeux du web.

Didier Guyomarch, directeur régional Europe du sud chez Zscaler.
© Zscaler
Quelle est la problématique des dirigeants d'entreprise face aux cyber-risques ?
À l’heure actuelle, les cadres dirigeants sont aux prises avec la nécessité d’approuver le budget requis pour renforcer la sécurité de leur entreprise. Mais il est primordial qu'ils soient au fait des nouvelles tendances, sinon, les entreprises prennent le risque de se rendre plus vulnérables au vol de données. 

Afin de bien déployer leurs stratégie de sécurité, quels sont les aspects dont les comités de direction devraient se méfier ?

Aujourd’hui, le chiffrement Secure Socket Layer (SSL), un protocole qui crée un canal de sécurité entre deux machines communiquant sur Internet ou un réseau interne, est appliqué à plus de la moitié du trafic Internet. Cette méthode peut sembler sûre mais, en réalité, elle présente un inconvénient. En effet, il est très facile de cacher des cyberattaques modernes dans le trafic SSL. Car bon nombre d’entreprises n’inspectent pas ce trafic pour diverses raisons : il peut s’agir de problèmes de performance de leur infrastructure de sécurité existante car l’analyse du trafic SSL nécessite une large bande passante et de puissants dispositifs. Autre raison : un dysfonctionnement lié à la réglementation car les entreprises n’ont pas encore trouvé comment analyser le trafic chiffré, conformément à leur législation locale. En conséquence, plus de la moitié du trafic Internet reste non protégé contre les programmes malveillants modernes et les attaquants en profitent.

Qu'en est-il de l'usage à outrance des smartphones ?


Les périphériques mobiles constituent un autre problème car les utilisateurs peuvent accéder à des applications ou des sites Web corrompus sur des périphériques qui ne sont pas contrôlés dans le cadre de la stratégie de sécurité de l’entreprise. L’utilisateur d’un appareil mobile étant le maillon faible de la stratégie de sécurité, il est probable qu’un smartphone infecté se connecte au réseau de l’entreprise et permette ainsi à un programme malveillant de se propager. Certes, l’appareil peut appartenir à l’employeur et, s’il n’est pas sécurisé, les données sensibles des clients et de l’entreprise peuvent également être faciles à dérober. Un fait surprenant : bien que le trafic mobile représente plus de la moitié du trafic Internet, il n’est pas encore considéré comme étant un élément important à protéger ! Des technologies de sécurité modernes sont pourtant disponibles pour surveiller le trafic sur chaque appareil, partout où l’utilisateur se trouve. Les entreprises doivent commencer à envisager de mettre en œuvre ces technologies pour réduire le nombre de failles dans leur stratégie de sécurité.

Qu'en est-il du Cloud ?


Malgré son succès en tant qu’application Cloud, la suite bureautique Office 365 de Microsoft doit également être prise en compte par les responsables de la sécurité. Les entreprises ont du mal à faire face à l’augmentation du trafic MultiProtocol Label Switching (MPLS) lequel a pour objet de mettre en forme et d'accélérer des flux de trafic réseau - et aux besoins en bande passante associés à Office 365. De ce fait, elles pourraient être tentées de gérer ce trafic directement sur Internet où il est transféré entre les utilisateurs, les périphériques et les Clouds. Pour éviter des effets dévastateurs, les entreprises ont intérêt à moderniser leur infrastructure de sécurité pour tenir compte du fait que tous les sites et toutes les succursales ont besoin d’un accès rapide et sécurisé au Cloud afin d’améliorer l’expérience utilisateur.

Mais n'est-ce pas sans compter l'obligation de se conformer au Règlement général sur la protection des données en Europe (RGPD)?

Le RGPD, qui entrera en vigueur le 25 mai 2018, impose aux entreprises de l’Union européenne de protéger plus que jamais les informations personnelles identifiables ; sinon, elles s’exposent à de lourdes amendes ainsi qu’au risque de voir leur réputation ternie en cas de vol de données. Les entreprises devront donc obtenir un consentement valide pour utiliser des données personnelles, embaucher un responsable de la protection des données (Data Protection Officer ou DPO) et informer l’organisme local de protection des données [en France, il s'agit de la Commission Informatique et Libertés (CNIL), NDLR] si elles sont victimes d’un vol de données. En cas de violation, ces dernières pourront être condamnées à une amende s’élevant à 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial. Les entreprises doivent donc faire le nécessaire pour assurer leur mise en conformité d’ici mai 2018. Il ne reste plus qu’aux entreprises à prendre conscience que les besoins de sécurité vont de pair avec les besoins du monde ultra connecté d’aujourd’hui et que cette nécessité intervient avant d’enclencher leur processus de transformation digitale. 

Propos recueillis par Ségolène Kahn

Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.

Vos réactions (0)

Soyez le premier à réagir / Signaler un abus

Réagissez

Votre adresse email ne sera pas publiée
Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.