Les coûts d'une mauvaise sécurité

Le mois dernier, Sony a révélé le prix associé au nettoyage de la faille de sécurité massive qui a exposé les informations personnelles de plus de 100 millions d'utilisateurs de ses services de streaming PlayStation Network et Qriocity : au moins 171 millions de dollars. Selon le président de Sony, Sir Howard Stringer, il s'agit de la plus grande violation de ce type qu'une entreprise ait jamais connue, et la somme colossale couvrira les améliorations de la sécurité, l'indemnisation des clients et les services d'enquête. Mais le bilan complet sera plus difficile à mesurer, car il inclura la perte de confiance des clients dans l'entreprise.





Garder le cap : L'Enterprise Strategy Group, une société de conseil, a demandé à 308 professionnels de l'informatique de grandes entreprises quels facteurs avaient motivé leur décision d'améliorer la sécurité des données. La conformité réglementaire en tête de liste

L'épisode était un rappel des enjeux liés à la sécurité des données et un indicateur que de nombreuses organisations ne se protègent pas suffisamment. Quand il s'agit de tous ces problèmes de sécurité, les entreprises ne dépensent pas en amont mais doivent dépenser beaucoup d'argent en aval pour réparer les choses, explique Thomas Ristenpart, chercheur en sécurité informatique à l'Université du Wisconsin, Madison.

Ce mois-ci, Impact sur les entreprises se concentre sur la sécurisation des données contre le vol et la perte. Nous explorerons les tactiques de sécurité que les entreprises devraient utiliser, les investissements qu'elles devraient faire et les questions qu'elles devraient se poser. Nous examinerons les pratiques intelligentes pour les appareils mobiles, les travailleurs à distance et le cloud computing, et nous obtiendrons les informations des meilleurs penseurs du domaine.



Les menaces à la sécurité de l'information se multiplient en partie parce que les entrepôts de données dans le monde augmentent rapidement à mesure que le coût du stockage chute et que la disponibilité des ordinateurs et de l'accès au réseau augmente. Au fur et à mesure que ce filon de données se développe, son attrait pour les criminels et les pirates augmente également.

Pour se protéger, les entreprises peuvent imposer des contrôles d'accès aux données confidentielles, chiffrer ces données et gérer de manière appropriée les clés de chiffrement, auditer les activités des utilisateurs et faire appel à des consultants pour s'assurer que les pratiques de sécurité sont à jour. Et comme le maillon faible de la chaîne de sécurité est souvent les personnes, l'une des choses les plus importantes que les entreprises peuvent faire est simplement de former leurs employés aux pratiques de base en matière de sécurité des données. Le paquet d'histoires de ce mois-ci soutiendra que la sécurité de l'information n'est pas seulement une affaire dont le service informatique doit s'inquiéter. Il doit s'inscrire dans toute l'entreprise, en commençant par les niveaux les plus élevés, où les décisions concernant les investissements en capital sont prises.

Gros soucis : La même enquête de l'Enterprise Strategy Group a demandé au même groupe d'employés informatiques d'identifier les points faibles de la sécurité de leur réseau.



Un grand défi a été reflété dans une feuille de route de recherche sur la cybersécurité de 2009 (PDF) produit par le département américain de la Sécurité intérieure. Entre autres choses, il a constaté qu'en raison de l'évolution si rapide des technologies de l'information et des méthodes d'attaque, les organisations ont du mal à déterminer si leurs données deviennent plus ou moins sécurisées, si elles sont plus ou moins sécurisées que celles d'autres organisations, et si un le niveau d'investissement en vaut la peine. Cela n'aide pas que de nombreuses organisations évaluent les questions de base sur la sécurité d'un point de vue financier à court terme, même si les analyses coûts-avantages sont difficiles à faire car le coût de ne pas prendre les mesures de sécurité appropriées peut ne pas être apparent avant des années. Les décisions résultant de telles analyses seront souvent préjudiciables à l'amélioration significative de la sécurité à long terme, indique le rapport.

Cela complique d'autant plus les choses que lorsque des violations de données se produisent, les entreprises ne sont pas toujours entièrement ouvertes. (Sony a mis six jours pour avertir les utilisateurs que leurs informations avaient été exposées.) Des réponses plus rapides aideraient les victimes ou les victimes potentielles, les particuliers ou les entreprises dont les données ont été exposées, à prendre des mesures pour atténuer les dommages.

Des changements possibles dans les réglementations gouvernementales pourraient durcir les règles sur la façon dont ces violations sont signalées et ce qui doit être révélé. Aux États-Unis, 47 lois d'État régissent actuellement la divulgation des violations de données qui exposent des informations personnelles, mais le président Obama a récemment proposé qu'une seule loi fédérale régisse le processus.



Cela serait utile, déclare le cryptologue Bruce Schneier, technologue en chef de la société mondiale de télécommunications BT, bien que l'utilité dépende de la rigueur de la loi. Ce qui est clair maintenant, c'est que les conséquences des violations de données sont parfois obscures. Nous ne savons pas qui a eu accès aux données, s'il s'agit de criminels, d'enfants ou d'espions, dit Schneier. Nous ne connaissons pas la vulnérabilité qui a causé la violation. Parfois, tout ce que nous savons avec certitude, c'est combien coûtent les dommages.

cacher