Perspectives McAfee sur la sécurité

Perspectives McAfee sur la sécurité

Mesure des risques pour une évaluation précise des vulnérabilités

Il est parfois difficile pour les professionnels de la sécurité de contenir le nombre croissant de menaces multiformes auxquelles sont confrontées les organisations informatiques. Chaque alerte annonçant une nouvelle vulnérabilité logicielle ou une nouvelle souche de code malveillant peut faire trembler le personnel informatique le temps de mettre en place le correctif approprié. Peuvent s'ensuivre des mesures frénétiques motivées par des événements ponctuels, qui monopolisent beaucoup de temps et d'énergie sans nécessairement assurer une protection maximale de l'entreprise.

Les équipes responsables de la sécurité devraient plutôt élaborer des stratégies de gestion des risques intelligentes afin de concentrer leurs ressources limitées sur les menaces les plus dangereuses pour l'entreprise.

« Aucune entreprise ne dispose de suffisamment de ressources financières et humaines pour éradiquer la totalité des risques informatiques potentiels », explique George Kurtz, Vice-Président Directeur de la gestion des risques chez McAfee. « Chaque entreprise doit donc s'efforcer de quantifier les risques et de définir les investissements en sécurité prioritaires. 

Pour atteindre ce double but, M. Kurtz, qui a rejoint l'équipe de direction de McAfee dans le cadre de la récente acquisition de Foundstone, propose un modèle où la mesure du risque repose sur l'étude de trois facteurs : la valeur des actifs et leur vulnérabilité, ainsi que la réalité des menaces.

Valeur des actifs : Un serveur qui traite chaque minute des transactions valant plusieurs milliers de dollars constitue à l'évidence un actif plus critique que le poste de travail d'un représentant commercial du Service Client. Une stratégie de réduction des risques intelligente nécessite une vision claire de la valeur des différents types de ressources informatiques au sein de l'entreprise.

Vulnérabilité des actifs : Outre des valeurs stratégiques variées, les actifs informatiques présentent différents niveaux de vulnérabilité inhérente. Un système est moins vulnérable s'il est privé de connexion Internet que s'il dessert des pages web publiques. De même, un commutateur enfermé dans une armoire de répartition verrouillée est moins exposé qu'un ordinateur portable situé à des milliers de kilomètres du périmètre de sécurité de l'entreprise.

Réalité des menaces : Les équipes de sécurité doivent en outre avoir une idée précise des menaces réelles auxquelles chaque actif est exposé. A titre d'exemple, les exploits ciblant les systèmes d'exploitation populaires sont plus nombreux que ceux qui visent les anciens systèmes. Ainsi, des applications moins récentes exécutées sur ces anciens systèmes seront plus rarement prises comme cibles, quelle que soit leur valeur stratégique. Par conséquent, elles représentent un risque moins important pour l'entreprise que les applications exécutées sous Microsoft® Windows® ou Linux™.

La compilation de ces trois facteurs permet aux équipes chargées de la sécurité de déterminer exactement où se situe le risque majeur pour l'entreprise et de définir en fonction l'échelle de priorités selon laquelle ils mènent leurs activités d'atténuation des risques.

Le risque peut être calculé en factorisant la valeur stratégique de l'actif, sa vulnérabilité inhérente et l'intensité des menaces auxquelles il est réellement confronté.

Stratégies de gestion des risques

Les équipes de sécurité peuvent encore gagner en efficacité en ajoutant à la compréhension des différents niveaux de risque une plus grande ouverture quant à la façon d'envisager la réaction face aux risques informatiques. M. Kurtz suggère quatre stratégies de gestion des risques : l'atténuation, l'acceptation, le transfert et l'évitement.

Atténuation des risques : Cette réaction, généralement envisagée en premier lieu par les équipes de sécurité, comprend toutes les mesures prises contre les menaces, notamment les solutions de protection antivirus, les pare-feu et les systèmes de détection des intrusions.

Acceptation des risques : Si le poids financier des mesures préventives excède celui du risque même ou si la gestion du risque détourne les ressources d'un risque plus grave, une ligne de conduite rationnelle peut consister à accepter le risque.

Transfert des risques : Il est parfois plus prudent de transférer le risque sur un tiers (par ex. une compagnie d'assurance) plutôt que d'affecter des ressources limitées à des efforts d'atténuation qui pourraient être vains.

Evitement des risques : Dans certaines situations, le niveau du risque et le coût des mesures à mettre en oeuvre sont tout simplement inacceptables. Il est dès lors préférable de supprimer totalement le risque en retirant le système concerné ou en refusant son déploiement.

« Il est impossible d'atténuer tous les risques rencontrés, et n'importe quelle entreprise qui s'engagerait dans une telle voie aurait tôt fait d'épuiser ses ressources », explique M. Kurtz. « La réponse consiste à combiner plusieurs stratégies en fonction de la nature de l'environnement informatique et du budget en matière de sécurité. »

Pour encore plus d'efficacité, les équipes responsables de la sécurité doivent automatiser autant que possible le processus de gestion des risques, de la découverte des actifs et de l'évaluation du risque associé à ceux-ci à la vérification de l'exécution correcte des procédures de correction et de leur impact.

Selon le bureau d'études en informatique Gartner, les entreprises qui mettent en oeuvre des processus de gestion des risques et des technologies de découverte, de hiérarchisation et de correction des vulnérabilités appropriés diminuent de 90 % le risque de succomber à une attaque.

« L'une des erreurs les plus fréquentes consiste à croire qu'il suffit d'installer un pare-feu pour sécuriser l'infrastructure », déplore M. Kurtz. « En réalité, le niveau de sécurité dépend essentiellement de la compréhension et de la gestion des risques sous toutes leurs formes, ainsi que de l'habileté à affecter des ressources limitées là où elles sont les plus efficaces. »

Depuis la rédaction de cet article, McAfee a introduit de nouveaux produits qui offrent des fonctionnalités similaires. Consultez la section relative aux produits pour en savoir plus.

Pour en savoir plus

Pour en savoir plus sur les solutions de gestion des risques de McAfee®, lisez le livre blanc consacré aux Stratégies de gestion des vulnérabilités et des menaces guettant les ressources numériques stratégiques.