Gestion de la sécurité
Qu’est-ce que la gestion de la sécurité ?
La gestion de la sécurité est le processus de haut niveau consistant à cataloguer les actifs informatiques de l’entreprise et à développer la documentation et les politiques nécessaires pour les protéger contre les menaces internes ou externes et les cybermenaces. Bien que les types d’actifs identifiés varient d’une entreprise à l’autre, ceux-ci comprennent souvent des personnes, des installations physiques, des technologies et des données. Au-delà de la catégorisation, cette analyse exhaustive permet d’identifier les risques de sécurité potentiels et d’éclairer les procédures de gestion, de traitement et de résolution des menaces, en particulier pour ce qui concerne la cybersécurité.
Créée en 2003 aux Pays-Bas puis mise à jour en 2013, la norme ISO/CEI 27001 copubliée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) énonce un ensemble d’exigences et de recommandations relatives à la documentation et à la certification des systèmes de gestion de la sécurité. Aujourd’hui, cette norme est souvent utilisée comme cadre de référence pour le développement des stratégies de sécurité de l’infrastructure informatique et des données.
Pourquoi la gestion de la sécurité est-elle importante ?
La gestion de la sécurité est importante, car elle offre aux entreprises et aux institutions une base éprouvée et fiable pour protéger leur infrastructure contre les pertes, les vols et les interruptions, principalement à des fins de cybersécurité. Pour les entreprises, en particulier celles qui manipulent d’énormes quantités de données dans le cadre d’applications et d’autres charges de travail exécutées sur des réseaux distribués en environnement multisite, une analyse et une évaluation approfondies des risques peuvent contribuer à prévenir les cyberattaques, à minimiser les temps d’arrêt pendant et après une attaque et à améliorer le temps de récupération.
La gestion de la sécurité établit également les rôles et les procédures informatiques via une documentation formelle, dans le but d’éliminer la confusion des rôles, les erreurs humaines ou les maladresses et de garantir la conformité aux normes et réglementations du secteur. Une gestion de la sécurité rigoureusement exécutée peut même normaliser le processus d’ajout de composants et d’éléments d’infrastructure.
Comment fonctionne la gestion de la sécurité ?
Le processus de gestion de la sécurité peut être décomposé en trois grandes phases : évaluation, sensibilisation et activation.
Évaluation
Au cours de cette étape, les responsables de la sécurité établissent le cadre des politiques régissant leur infrastructure informatique. La première étape consiste à dresser un inventaire détaillé de tous les actifs informatiques – appareils, composants matériels et logiciels, etc. – et à comparer celui-ci aux besoins métier et de conformité de l’entreprise, ainsi qu’à vérifier l’infrastructure IT existante pour détecter toute vulnérabilité ou lacune et affecter des protocoles d’identification. Une fois cette étape terminée, la direction informatique peut utiliser ces résultats pour éclairer la création de politiques et de procédures.
Sensibilisation
Une fois la structure de gestion de la sécurité en place, l’étape suivante consiste à partager les résultats et à former non seulement l’équipe informatique, mais l’ensemble des effectifs de l’entreprise. La partie éducation peut comprendre de nombreux aspects, depuis les meilleures pratiques de base en matière de cybersécurité jusqu’à la description détaillée des rôles et des responsabilités vis-à-vis des prestataires tiers.
Activation
La phase finale consiste en plusieurs actions importantes : application de la stratégie de conformité, surveillance et réponse complètes, et maintenance courante. Et bien que cette phase représente à certains égards un ensemble définitif d’actions, elle prévoit également des révisions permanentes si nécessaire, que ce soit pour s’adapter aux nouveaux besoins de l’entreprise, pour intégrer de nouvelles technologies ou pour répondre à de nouvelles menaces.
Quels sont les risques en cas de défaut de gestion de la sécurité ?
Le fait de ne pas prendre en compte ou protéger votre structure informatique de bout en bout peut avoir des conséquences coûteuses et même catastrophiques. Non seulement les cyberattaquants et autres cybermenaces trouveront des moyens d’infiltrer votre réseau et d’endommager, de voler et de détruire des données et des ressources pratiquement à volonté, mais ces impasses peuvent avoir une incidence sur des personnes extérieures à l’entreprise. Par exemple, un hacktiviste pourrait perturber les opérations d’un producteur de pétrole et de gaz, déclenchant ainsi une série d’événements pouvant inclure une perte de revenus, l’interruption de chaînes logistiques, une augmentation des prix du gaz et, à l’extrême, une compromission des fonctions de sécurité susceptibles d’entraîner des blessures éventuellement fatales pour les employés. De plus, une réputation d’incurie en matière de sécurité peut nuire à votre image publique, à votre positionnement dans le secteur et à votre potentiel de croissance.
En interne, la gestion de la sécurité permet une gestion plus efficace et proactive de vos environnements informatiques. Sans cela, vous risquez des lacunes dans la surveillance de la sécurité, ce qui pourrait ralentir l’identification et le traitement des menaces, brouiller les protocoles et les responsabilités, freiner votre adaptation à l’évolution des problèmes de cybersécurité et, en fin de compte, entraver votre potentiel d’innovation.
Qu’est-ce que la gestion de la sécurité du cloud ?
La gestion de la sécurité du cloud est une sous-spécialisation de la gestion de la sécurité. Si le développement de politiques de sécurité du cloud poursuit une démarche analogue (évaluation, sensibilisation et activation), l’accent est porté ici sur l’infrastructure spécifique du cloud plutôt que sur les actifs physiques, dans le but ultime de sécuriser les actifs numériques via des contrôles d’accès rigoureux, le chiffrement et l’analyse des données ainsi qu’une surveillance proactive.
Une solide gestion de la sécurité du cloud se traduit par une grande flexibilité informatique ainsi que des opportunités d’automatisation. Comme la gestion de la sécurité classique, la sécurité du cloud contribue à maintenir la conformité, à protéger la réputation de l’entreprise et à réduire la demande pesant sur les équipes informatiques. En se délestant de la surveillance et d’autres tâches sur l’intelligence artificielle (IA) et le machine learning (ML), les équipes informatiques peuvent consacrer moins de temps aux charges de travail triviales et exigeantes en main-d’œuvre.
HPE et la gestion de la sécurité
HPE est réputée pour son portefeuille de produits et de services hautement performants et sécurisés, conjuguant puissants matériels et solutions de bout en bout. Ces services sont conçus pour des déploiements à l’échelle de l’entreprise capables de renforcer les stratégies de sécurité existantes, afin que la sécurité ne soit plus un obstacle chronophage mais un accélérateur d’innovation.
Des options comme les services de sécurité et de protection numérique HPE déploient une protection de l’edge, du cloud et des données en s’appuyant sur des modèles adaptatifs et sur notre expertise du secteur pour suivre le rythme des nouvelles cybermenaces, ainsi que des initiatives technologiques qui apportent des solutions de gestion des risques et de la sécurité intégrant des approches modernes comme la sécurité zero trust et le DevSecOps avec des normes industrielles telles que le cadre NIST. Pour une sécurité plus spécifique à l’infrastructure, les solutions de sécurité HPE offrent des défenses allant de la couche de silicium au cloud sur les réseaux distribués.
D’autres offres de sécurité HPE comme le Projet Cosigno se concentrent spécifiquement sur l’authentification de l’identité. Enracinée dans des protocoles zero confiance, cette solution propose aux équipes d’ingénierie de la sécurité et de l’infrastructure une plateforme Web unifiée pour transmettre et émettre des identités de service. Contrairement à d’autres approches, cette solution fournit des identités évolutives, cryptographiques et indépendantes de la plateforme, reposant sur les normes ouvertes (SPIFFE). En conséquence, elle permet aux entreprises d’optimiser les opérations de sécurité, d’accroître la productivité des développeurs, de réduire le délai de mise en service des applications et d’accélérer le passage au cloud ou aux conteneurs tout en renforçant la sécurité globale.