SécuritéLes bonnes (et mauvaises) manières de dépenser votre budget de sécurité

Executive Summary

La sécurité des applications est en train de dépasser rapidement la sécurité du réseau alors que les risques pour l'entreprise évoluent. Les vieilles méthodes deviennent moins efficaces. Découvrez quoi faire à ce sujet et comment.

Executive Summary

La sécurité des applications est en train de dépasser rapidement la sécurité du réseau alors que les risques pour l'entreprise évoluent. Les vieilles méthodes deviennent moins efficaces. Découvrez quoi faire à ce sujet et comment.

Related

Découvrez pourquoi votre budget de sécurité cible peut-être les mauvaises menaces

Vous souvenez-vous du temps où nous louions des cassettes vidéo VHS, portions des Doc Martens et écoutions de la musique grunge à la radio ? Même si les années 90 semblent être un lointain souvenir pour la plupart d’entre nous, les datacenters de nombreuses grandes entreprises y sont encore bel et bien ancrés. Un nombre surprenant d’organisations informatiques récupèrent et analysent les journaux d’accès réseau comme en 1999.

À l’époque, tout était stocké sur des serveurs derrière un pare-feu au sein de votre datacenter. Les logiciels étaient livrés dans un boîtier, et vous les installiez sur des séries d’ordinateurs vous appartenant. Vous pouviez identifier tous les clients sur le réseau. Vous étiez donc capable de contrôler plutôt fermement l’accès aux applications et aux données. Vous étiez principalement préoccupé par les menaces internes, les violations de données accidentelles et les dégâts occasionnés par des programmes malveillants, comme le Virus Melissa.

Mais revenons au présent : vos logiciels d’entreprise sont installés sur les serveurs d’autres personnes dans le cloud. Vos employés, et sans aucun doute certains de vos clients, y accèdent via un navigateur Web ou une application pour smartphone. Vos points de terminaison sont omniprésents, et votre réseau n’est plus votre seule priorité : vous devez prendre en compte quelque 3,2 milliards d’internautes susceptibles d’avoir de mauvaises intentions.

Il y a tout de même une bonne nouvelle : même si le nombre et la portée des menaces ont augmenté, les budgets de sécurité ont également été revus à la hausse. Les entreprises n’ont jamais autant investi dans leur sécurité. Cependant, si vous n’investissez pas aux bons endroits, les menaces continueront à augmenter. Lorsque vous devrez réfléchir à vos propres investissements de sécurité, prenez en compte ces quatre vérités fondamentales.

Votre réseau n’est plus votre seule priorité. Vous devez prendre en compte quelque 3,2 milliards d’internautes susceptibles d’avoir de mauvaises intentions.

1. Les violations au niveau des applications sont à la hausse

Actuellement, un nombre croissant de violations ont lieu via les applications. Pourtant, la majeure partie des budgets de sécurité informatique reste consacrée à la sécurisation des réseaux. La cible se trouve désormais au niveau des applications, qui sont devenues des portes d’entrée vers vos données. Il faut bien sûr continuer à financer la sécurité de votre réseau. Cependant, vous devez définir des priorités pour votre budget et veiller à ce que les fonds soient alloués là où ils auront le plus d’impact.

2. Le contrôle des identités et des accès est essentiel

Dans cette révolution numérique, deux éléments critiques de sécurité sont à privilégier : la capacité à vérifier l’identité de tout utilisateur en tout lieu et la nécessité de protéger l’application où qu’elle soit hébergée. Autrement dit, vous devez sécuriser à la fois l’accès à l’application et l’application elle-même. Le réseau n’est qu’un élément parmi d’autres, ce n’est plus l’objectif principal.

3. Vous ne pouvez sécuriser des éléments que vous ne comprenez pas

La visibilité et le contexte sont essentiels. Vous devez savoir ce que vos applications sont en train de faire et si elles se comportent comme prévu. Si vous observez un comportement aberrant dans vos applications, il s’agit souvent du premier signe d’une violation. Cela signifie que vous devez être capable de déchiffrer l’ensemble de votre trafic, et de contrôler toutes les fonctions et sous-fonctions pour chaque protocole HTTP, SSL et DNS. Si vous n’avez aucune visibilité sur les processus et ne maîtrisez pas le contexte du fonctionnement de vos applications, vous travaillez à l’aveugle.

4. La demande dépasse le nombre de candidats

La demande des sociétés pour obtenir des applications de plus en plus performantes est quasi infinie, malheureusement le nombre de développeurs d’applications expérimentés ne l’est pas. Les développeurs débutants, mis sous pression pour produire des applications en plus grand nombre et toujours plus rapidement, sont bien plus susceptibles d’introduire des failles. Dans le même temps, les pros de la sécurité capables de signaler les failles et de limiter les dommages se font également rares. On estime qu’il y a actuellement 200,000 postes de cybersécurité ouverts de plus que de candidats pour les pourvoir. Des développeurs inexpérimentés associés à un manque de professionnels expérimentés dans le domaine de la sécurité, c’est le signe d’une catastrophe annoncée. Si vous avez un problème de main-d’œuvre, envisagez un partenariat avec un fournisseur de services proposant des outils, comme des tests dynamiques de la sécurité des applications (DAST) qui permettent d’automatiser les tests pour vous protéger des vulnérabilités existantes ou futures.

À retenir :

Comme beaucoup d’entreprises actuelles, vous consacrez probablement la majeure partie de votre budget sécurité à votre réseau. Vous vous trouvez peut-être dans une position vulnérable. Mais il est encore temps d’agir. Tout d’abord, concentrez vos efforts sur la sécurité des applications. Protéger l’identité des utilisateurs et l’accès des applications est désormais votre priorité. Vous devrez améliorer la visibilité de l’ensemble de votre trafic, y compris les données chiffrées, et établir des bases de référence pour vous aider à identifier les comportements anormaux. Enfin, si vous n’avez pas d’experts en sécurité des applications en interne, recherchez un partenaire capable d’intervenir et d’offrir la protection dont votre entreprise a besoin.

Vous pourriez aussi être intéressé par

Bien présenter les risques et la sécurité à votre conseil d’administration

C’est le grand jour. Vous devez faire un bilan de la sécurité de votre entreprise devant le conseil d’administration. Votre présentation est critique : la sécurité de votre entreprise, sa réputation et sa santé financière dépendent de vous. Les membres du conseil doivent comprendre les risques encourus par l’entreprise, et comment vous envisagez d’y faire face. Cependant, leur temps et leur niveau d’attention sont limités. Soyez bref, faites-leur bien comprendre l’importance du sujet.

Découvrez pourquoi votre budget de sécurité cible peut-être les mauvaises menaces

Utilisez-vous vos budgets informatiques intelligemment ?
Si vous dépensez la majeure partie de votre budget sécurité pour votre périmètre réseau au détriment de la sécurité et de la gestion des identités de vos applications, vous devrez peut-être devoir revoir les proportions.

4 éléments à surveiller dans les angles morts de votre cloud

Comme lorsque vous êtes sur la route en voiture, vous devez également faire attention aux angles morts lorsque vous faites passer votre entreprise sur le cloud. Éblouis par la souplesse, les économies, l’efficacité et les gains de productivité apportés par le cloud, de nombreux responsables informatiques en oublient quatre dangers difficiles à voir au premier abord.