Les dernières manchettes sont inondées d'informations sur les failles de sécurité de grandes entreprises, telles que Morrisons, Target et Kickstarter..

Nous avons discuté avec Catalin Cosoi, stratège en chef de la sécurité chez Bitdefender, afin de déterminer si les entreprises pouvaient mieux informer leurs employés sur la sécurité et comment simplifier les stratégies de sécurité…

TechRadar Pro: l’entreprise pourrait-elle faire mieux en ce qui concerne la formation du personnel en matière de sécurité informatique?

Catalin Cosoi: L’entreprise moyenne ne forme pas le personnel général en matière de sécurité informatique et c’est plus ou moins ce qu’elle devrait être. La formation devrait être limitée à la familiarisation avec les procédures de sécurité liées à l'emploi, car moins il y en a, moins il y a d'erreur. Le personnel informatique, quant à lui, devrait être plus soucieux de la sécurité.

TRP: Comment la formation devrait-elle différer à différents niveaux de l'entreprise? Tous les employés doivent-ils avoir le même niveau d'instruction??

CC: D'une manière générale, un attaquant visera en premier lieu le «fruit à portée de main», puis le secrétaire du directeur, et non le directeur lui-même, du moins pas initialement. L'une des tâches de la sécurité informatique consiste à s'assurer que les gains sont également faibles et que les attaques par "élévation de privilèges" sont difficiles..

Cela étant dit, une petite dose de paranoïa opérationnelle inculquée au personnel clé peut faire des miracles. Pour donner un exemple de l'importance de l'éducation à tous les niveaux, le "bidouillage" de HBGary n'a été possible que parce qu'un administrateur faisait trop confiance et acceptait.

TRP: Que Bitdefender considère-t-il comme la meilleure pratique en matière d’éducation à la sécurité informatique pour les entreprises et leur personnel?

CC: Identifiez les personnes à éduquer, puis réfléchissez longuement à ce que vous voulez enseigner. Par exemple, former les gens à changer leurs mots de passe est souvent inutile, tout en leur montrant comment le spear phishing fonctionne peut être utile.

Gardez à l'esprit qu'il existe normalement une tension entre sécurité et commodité, et qu'un cadre intermédiaire harcelé choisira toujours la commodité, à moins que la formation ne l'ait convaincu qu'il est nécessaire de prendre de telles décisions de manière consciente et que prendre des risques pour la sécurité n'est pas une option. "libre".

TRP: La sécurité du réseau devrait-elle désormais reposer sur plus que des mots de passe, à la suite de la récente information selon laquelle des chercheurs de Liverpool ont créé un virus informatique pouvant se propager via le Wi-Fi?

CC: Le potentiel de propagation du virus Chameleon à travers les réseaux "comme un rhume" met en évidence l'importance de disposer de procédures de sécurité administratives robustes; un domaine qui est négligé par beaucoup.

Les organisations doivent prendre des mesures pour garantir la protection de l'infrastructure et des routeurs critiques, et des technologies et des menaces de virus similaires devraient être l'élément qui fait la différence..

Les routeurs domestiques et les réseaux dépassent en réalité les compétences en matière d'administration informatique de la plupart des gens. Par conséquent, la nécessité de les sécuriser ne s'enregistre même pas. C’est pourquoi les mots de passe ne sont souvent pas suffisamment sécurisés.

Afin de parvenir à une véritable protection, la sécurité et la maintenance doivent être simplifiées et automatisées autant que possible. Les choses devraient simplement fonctionner de manière sécurisée, car la plupart des gens n'ont pas le temps, l'envie ou même la motivation pour devenir des professionnels de la sécurité réseau.

TRP: Quels sont les standards d'or de l'industrie dans le secteur de la sécurité du cloud actuel??

CC: Malgré les efforts de l'industrie, les fournisseurs de cloud computing doivent encore établir un cadre standard pour guider les interactions entre entreprises et fournisseurs de services de cloud.

Un certain nombre d'organisations ont ratifié les propositions de normes ouvertes et élaboré des directives de sécurité pour le cloud. La Cloud Security Alliance (CSA) constitue l’un des ensembles de meilleures pratiques les plus compréhensibles du secteur pour le cloud computing sécurisé..

L’ASC a mis au point une norme de conformité appelée CCM ou Cloud Control Matrix, qui décrit divers domaines de l’infrastructure en nuage, notamment la gestion des risques et les menaces à la sécurité..