Bien que les
vulnérabilités majeures, telles que Heartbleed, et ShellShock, ainsi que les fuites de
données on fait les gros titres de cette années. Une étude révèle que le
personnel en charge de la sécurité continue encore de reporter l'application
de patch, et de rigoureuses procédures de sécurités.
En effet, selon le "2014 State of Risk Report" de Trustwave, , il apparaît que 63% des entreprises n'ont pas de procédure efficace pour contrôler et procéder au suivis de leurs données sensibles.
D'après le vice-Présicent du département GSSI (Government Solutions and Special Investigations) de Trustwave, Phil Smith: "Si vous n'adaptez pas vos procédure de sécurité en fonction de l'importance des données, alors vous ne pourriez pas les protéger efficacement. Savoir détecter et protéger ces données est un point primordial, car après un incident, sans savoir où elles sont stockés, vous prendrez sûrement des mesures inappropriées lors de l'enquête".
En outre 58% n'ont pas de processus de gestion de patchs efficace, tandis que 12% n'en ont pas du tout !
Cette incapacité à appliquer systématiquement les patchs ne résulte pas forcément d'un oubli ou d'une incompétence. Selon P. Smith ce serait le résultat d'un emploi du temps surchargé du personnel de sécurité en charge: entre le maintient du système de mails, du site, et des différentes applications... appliquer les plus récents patchs de sécurité n'est pas vraiment une priorité.
Selon lui "Cette tâche peut paraître simple à réaliser, mais à partir du moment où votre équipe se réduit, la fréquence à laquelle vous appliquez vos patch se réduit elle aussi."
L'étude constate aussi que 21% des entreprises n'ont pas de cellule de crise ou de procédure spécifique lors d'incidents et 20% ne possède pas de processus de signalement de failles.
De surcroit 45% des directions d'entreprises ne s’y intéressent pas, et par conséquent ne participent que partiellement à leur sécurité, sachant que 9% n'y participent pas du tout.
P.Smith a exprimé énormément d'inquiétudes par rapport à cela, selon lui, les responsables de la sécurité doivent sensibiliser leur cadre aux enjeux de la sécurité informatique.
"S'ils sont en mesure de pouvoir faire investir un cadre de l'équipe de direction vers l'équipe de traitement des incidents, alors ce sera déjà un très grand pas de fait, qui contribuera fortement à sensibiliser le reste des cadres sur les véritables enjeux et risques de la sécurité informatique"
En effet, selon le "2014 State of Risk Report" de Trustwave, , il apparaît que 63% des entreprises n'ont pas de procédure efficace pour contrôler et procéder au suivis de leurs données sensibles.
D'après le vice-Présicent du département GSSI (Government Solutions and Special Investigations) de Trustwave, Phil Smith: "Si vous n'adaptez pas vos procédure de sécurité en fonction de l'importance des données, alors vous ne pourriez pas les protéger efficacement. Savoir détecter et protéger ces données est un point primordial, car après un incident, sans savoir où elles sont stockés, vous prendrez sûrement des mesures inappropriées lors de l'enquête".
En outre 58% n'ont pas de processus de gestion de patchs efficace, tandis que 12% n'en ont pas du tout !
Cette incapacité à appliquer systématiquement les patchs ne résulte pas forcément d'un oubli ou d'une incompétence. Selon P. Smith ce serait le résultat d'un emploi du temps surchargé du personnel de sécurité en charge: entre le maintient du système de mails, du site, et des différentes applications... appliquer les plus récents patchs de sécurité n'est pas vraiment une priorité.
Selon lui "Cette tâche peut paraître simple à réaliser, mais à partir du moment où votre équipe se réduit, la fréquence à laquelle vous appliquez vos patch se réduit elle aussi."
L'étude constate aussi que 21% des entreprises n'ont pas de cellule de crise ou de procédure spécifique lors d'incidents et 20% ne possède pas de processus de signalement de failles.
De surcroit 45% des directions d'entreprises ne s’y intéressent pas, et par conséquent ne participent que partiellement à leur sécurité, sachant que 9% n'y participent pas du tout.
P.Smith a exprimé énormément d'inquiétudes par rapport à cela, selon lui, les responsables de la sécurité doivent sensibiliser leur cadre aux enjeux de la sécurité informatique.
"S'ils sont en mesure de pouvoir faire investir un cadre de l'équipe de direction vers l'équipe de traitement des incidents, alors ce sera déjà un très grand pas de fait, qui contribuera fortement à sensibiliser le reste des cadres sur les véritables enjeux et risques de la sécurité informatique"
Dans cette semaine encours, nous irons au travers d’un cas d’étude bien
commun aux entreprises, décrire les vulnérabilités de votre Système
d’Information et de Communication liée, au manque de stratégies, politiques, et
procédures de gestion des patches(Mise-a-jour, les correctifs, etc.) de votre
système d’information, et partager des méthodologies généralement acceptées,
dans la gestion des risque lié aux patches.
Aucun commentaire:
Enregistrer un commentaire