« Un firewall et un antivirus », c’est généralement ce que nous répondent les DSI et dirigeants des PME.
C’est un constat accablant mais c’est la dure réalité. Les PME ne savent pas se protéger. Il faut dire qu’on leur a expliqué (pas ITrust !) pendant des années qu’un Appliance Checkpoint suffirait … Alors quand on va leur expliquer qu’IKare pourrait supprimer 90 % des risques de sécurité sur un système d’information, elle vont avoir du mal à le croire et vous aussi. Et pourtant…
Voilà pourquoi j’écris ce post :
C’est un constat accablant mais c’est la dure réalité. Les PME ne savent pas se protéger. Il faut dire qu’on leur a expliqué (pas ITrust !) pendant des années qu’un Appliance Checkpoint suffirait … Alors quand on va leur expliquer qu’IKare pourrait supprimer 90 % des risques de sécurité sur un système d’information, elle vont avoir du mal à le croire et vous aussi. Et pourtant…
Voilà pourquoi j’écris ce post :
En Mars 2010, nous faisions un retour d’expérience en conférence sur les failles de sécurité les plus constatées chez nos clients (Grands-Comptes, PME, TPE, concernant pratiquement tous les secteurs, excepté le public) la synthèse de l’étude est ici : https://www.itrust.fr/images/stories/ressources/top10_resist_opt.pdf
Nous constations que 99% des problèmes de sécurité ou failles de sécurité n’étaient pas issus de failles inconnues ou complexes mais bien de ce que nous appelons les « basiques de la sécurité ». Basiques qui sont d’ailleurs repris en partie par plusieurs normes et méthodes (PCI/DSS, ISO 2700X).
Ces principes de bases sont très rarement respectés. L’ensemble de ces 10 basiques ne le sont (ne l’étaient) jamais (sur le parc de clients ITrust).
En tant qu’expert indépendant, j’ai le droit de dire que si ces basiques étaient respectés, une entreprise non-ciblée n’aurait pratiquement aucun problème de sécurité important et verrait ses risques diminuer de plus de 90%.
Bien entendu, je mets de côté la potentialité d’une attaque ciblée. Ce qui est un cas particulier. Si quelqu’un veut rentrer chez vous, il y arrivera quelque soit le nombre de serrures que vous mettez… L’important est de lui faire comprendre que ce sera tellement long et pénible, qu’il ferait mieux de s’intéresser à une autre cible.
Un antivirus ou un Firewall ne protège pas de ces risques. Un firewall bloquera les intrusions externes et l’antivirus ne détectera… pas grand chose. Mais ceci est un autre débat. J’y reviendrai une autre fois.
Voici un petit récapitulatif selon ITrust du top 10 des failles de sécurité dans les PME, ainsi que la couverture apportée par un firewall et un antivirus.
Nous constations que 99% des problèmes de sécurité ou failles de sécurité n’étaient pas issus de failles inconnues ou complexes mais bien de ce que nous appelons les « basiques de la sécurité ». Basiques qui sont d’ailleurs repris en partie par plusieurs normes et méthodes (PCI/DSS, ISO 2700X).
Ces principes de bases sont très rarement respectés. L’ensemble de ces 10 basiques ne le sont (ne l’étaient) jamais (sur le parc de clients ITrust).
En tant qu’expert indépendant, j’ai le droit de dire que si ces basiques étaient respectés, une entreprise non-ciblée n’aurait pratiquement aucun problème de sécurité important et verrait ses risques diminuer de plus de 90%.
Bien entendu, je mets de côté la potentialité d’une attaque ciblée. Ce qui est un cas particulier. Si quelqu’un veut rentrer chez vous, il y arrivera quelque soit le nombre de serrures que vous mettez… L’important est de lui faire comprendre que ce sera tellement long et pénible, qu’il ferait mieux de s’intéresser à une autre cible.
Un antivirus ou un Firewall ne protège pas de ces risques. Un firewall bloquera les intrusions externes et l’antivirus ne détectera… pas grand chose. Mais ceci est un autre débat. J’y reviendrai une autre fois.
Voici un petit récapitulatif selon ITrust du top 10 des failles de sécurité dans les PME, ainsi que la couverture apportée par un firewall et un antivirus.
 |
| Retour d'expérience : TOP 10 des failles identifiées par ITrust de 2007 à 2011. |
Comment un simple scanner de sécurité intelligent, IKare, pourrait couvrir l’ensemble de ces risques ? Tout simplement parce qu’il est issu de l’expérience et du travail des consultants et ingénieurs de terrain qui tous les jours sont confrontés à des problématiques de sécurité. Il a été pensé et conçu par et pour le terrain, par et pour les besoins de nos clients.
En contrôlant en quasi temps réel, comme un radar, les basiques de sécurité tels que les partages sur le réseaux, les mots de passe des bases de données ou des applications, les mauvaises configurations (ports laissés ouverts, SNMP public, …) une PME est capable de contrôler et parer à plus de 90 % des principales failles de sécurité utilisées aujourd’hui par des virus, trojans, personnes malveillantes ou simples stagiaires. C’est ce que fait IKare (www.ikare-monitoring.com).
Je trouvais ce tableau tellement parlant que je voulais le partager. Il synthétise l’intérêt d’un outil comme IKare, pour toutes les PME qui se posent des questions de sécurité.
Jean-Nicolas Piotrowski
>> Faites-nous part de vos réactions ;)
Aucun commentaire:
Enregistrer un commentaire