(English version - with some comments)

Dans le graphique ci-dessous, nous mettons en corrélation les investissements dans la sécurité avec le niveau de protection atteint. Définissons tout d’abord la situation du marché basée sur l’offre actuelle des différents fournisseurs, et représentée par la courbe moyenne verte (il est vrai par exemple que lorsque nous désirons atteindre un niveau très élevé de sécurité, une petite augmentation de ce niveau peut engendrer des coûts additionnels relativement importants).

D’un point de vue conceptuel, nous pouvons également utiliser ce graphique pour mettre en évidence notre attitude vis-à-vis du risque. Pour rester simple, nous pouvons distinguer trois différentes philosophies sécuritaires :

1. La zone rouge – Les organisations appartenant à cette catégorie dépensent peu d’argent pour leur sécurité. En retour, elles n’attendent pas un niveau de protection élevé. Elles tendent à réagir aux problèmes sécuritaires une fois que ceux-ci se sont produits. Elles commencent typiquement avec le niveau de protection le plus basique et opèrent en mode de « dénégation » jusqu'à ce qu’une attaque les frappe, les forçant alors à se défendre. En fait, elles ne considèrent pas que la sécurité mérite un investissement proactif, même de niveau moyen, et/ou elles pourraient penser, à tort, qu’elles ne sont pas exposées à la menace du fait de la nature même de leurs affaires.
   Malheureusement pour ces entreprises, l’expérience  démontre que les violations de données, quelles qu’elles soient, peuvent affecter n’importe quelle organisation, de toute taille, et dans tous les secteurs d’activité. Une simple et unique attaque peut causer des dommages majeurs, non seulement financiers, mais également en termes de réputation et d’image. Donc au final, cette attitude est très risquée dans notre environnement présent, dans lequel la pro-activité est essentielle.
   
   
2. La zone orange – La deuxième catégorie, intermédiaire, regroupe les entreprises qui sont assez bien informées des différents risques encourus. Elles appréhendent généralement sérieusement les aspects liés à la sécurité. La majorité d’entre elles ont mis en place au fil du temps différents composants et couches sécuritaires et sont parvenues ainsi à améliorer le contrôle de la menace et la réduction du risque. Cependant leur approche demeure tactique, c’est-à-dire qu’elles accordent certes de l’importance à la sécurité, mais elles ne la considèrent pas de manière holistique. Elles tendent à avoir un nombre élevé de fournisseurs et également des solutions non-intégrées.
   Je ne pense pas que cette posture ne soit non plus appropriée, car le fait d’avoir implémenté différents systèmes de sécurité, provenant d’une multitude de fournisseurs, laisse des failles dans les lignes de défense qu’un pirate malicieux ou mal intentionné peut relativement facilement exploiter.
   
   
3. La zone verte – Finalement, la troisième catégorie consiste en des organisations possédant une haute conscience sécuritaire et qui cherchent à mettre en œuvre la meilleure protection possible afin de réduire le risque au maximum. Elles considèrent la sécurité d’un point de vue stratégique, proactif et global, et elles tendent également à avoir un nombre restreint de fournisseurs. De plus, elles adoptent une approche intégrée – du terminal utilisateur au centre de données – pour leurs besoins en sécurité.

Question rapide : dans laquelle de ces trois catégories classeriez-vous votre propre organisation ?

Revenons aux courbes maintenant. Comme mentionné, un niveau élevé de sécurité a un prix. Du point de vue du fournisseur, continuer à offrir les meilleurs produits, implémenter de nouvelles fonctionnalités afin de stopper des attaques et des menaces qui sont en perpétuelle évolution, disposer d’une entité dédiée à la recherche des failles sécuritaires et ce afin de garantir que les équipements en fonction disposent toujours des dernières informations quant aux menaces, tout ceci nécessite une innovation continue et des investissements soutenus en recherche et développement. Seuls les fournisseurs qui consentent à ces investissements sont à même d’offrir au final le meilleur niveau possible de protection.

Malheureusement, quelques fournisseurs essaient de nous convaincre qu’ils peuvent offrir plus à moindre frais. Il en résulte un décalage de notre courbe verte vers la gauche (courbe bleue pointillée). Cela peut paraître attractif pour certaines organisations, mais la réalité est que vous vous retrouvez avec une solution qui ne délivre pas le niveau de protection attendu/promis, résultant dans la courbe rouge du graphique. Plus l’écart produit entre les courbes vertes et rouges est grand, plus large est la latitude offerte aux pirates et autres personnes mal intentionnées de générer des attaques. Et le pire à ce sujet est que vous vous rendez finalement compte de l’existence de cet écart seulement le jour où une attaque sérieuse se produit et engendre des dommages irréversibles…

La conclusion est qu’une approche sécuritaire « good-enough » est simplement et purement inadéquate pour les entreprises d’aujourd’hui. Ce n’est PAS une option dans notre environnement soumis à une évolution constante de la menace. Aussi, seule une sécurité de « bout en bout », coopérative et fédérée peut réduire le risque efficacement ; installer des produits isolés appartient au passé et représente la meilleure façon de finir éventuellement avec un réseau infecté.

Le portfolio sécurité de Juniper est sans égal dans l’industrie. Cela nous permet de servir nos clients entreprise et de délivrer une solution et une architecture de sécurité qui englobe le centre de données (incluant maintenant les applications web), le campus, les succursales et le personnel mobile (vraie solution « bout en bout »). Nous disposons d’une équipe de recherche de premier ordre, à même non seulement d’écrire nos différentes signatures, mais disposant également d’une connaissance approfondie des menaces actuelles. Cette dernière se traduit par un développement de technologies offrant des capacités supérieures et adressant directement les risques existants et émergeants.

Voilà, j’espère que ce blog vous aura donné un élément de réponse à la question initiale.

Mon humble conseil final serait de :

• adopter une attitude adaptée vis-à-vis du risque – et je pense qu’une seule est appropriée dans celles abordées dans ce blog
  
  
• de réfléchir à deux fois avant d’opter pour un fournisseur de sécurité – la crédibilité, la vision, l’innovation, la richesse du portfolio (bout en bout), ainsi que l’historique, sont autant d’aspects critiques qui doivent être considérés
  
  
• se rappeler que seule une approche de la sécurité collaborative et fédérative peut assurer le plus haut niveau de protection et de réduction des risques
  
  
• et de vous demander sur laquelle des courbes vous aimeriez vous positionner, l’important étant que chaque organisation aspire au final à se situer dans la zone verte et sur la courbe de cette même couleur.