Obliger les entreprises à notifier les attaques informatiques qu’elles subissent

Le livre blanc de la défense rendu public le 29 avril par le gouvernement, prévoit une loi obligeant les entreprises non seulement à se doter d’outils de détection et de protection de leurs données, mais aussi à signaler toute attaque qu’elles subissent. Cette loi impose une démarche aux entreprises alors qu’un premier pas d’évangélisation devrait être fait. Les entreprises avant même de protéger leurs informations doivent comprendre quels sont les besoins de sécurité dont elles ont besoin. Le problème étant qu’aujourd’hui 80% du budget de sécurité informatique des entreprises est dépensé dans la prévention des cyber attaques alors que la surveillance des systèmes (15%) et la réponse à l’attaque (5%) sont négligées. Le système de protection type « château fort » est devenu obsolète car toute fenêtre donne place à l’attaque : il est important d’avoir un système de surveillance de l’information avec un temps de réponse le plus rapide possible.

Les pirates sont aussi impliqués dans le développement de moyens pour contourner la sécurité informatique. Les entreprises doivent être conscientes que les menaces se transforment et s’adaptent aux moyens de préventions qu’elles mettent en place. L’entreprise doit être capables de superviser, de récupérer les informations et corriger le plus rapidement possible les failles. Il ne s’agit plus de prévenir avec des « règles » la sécurité de l’entreprise mais plutôt d’analyser les évènements afin de comprendre de manière intelligente ce que peut représenter un risque pour l’entreprise : non seulement afin de prévenir une intrusion, mais aussi afin de diminuer le temps de réponse contre celle-ci. Sachant que plus de 90% des entreprises ne se rendent même pas compte qu’elles ont été attaquées ! Les failles sont légions, il suffit de découvrir le protocole d’alerte de zataz.com, avec plus de 4.000 sociétés françaises aidées bénévolement en 2012, pour comprendre l’étendu du problème.

Une réflexion sur « Obliger les entreprises à notifier les attaques informatiques qu’elles subissent »

  1. Merci pour ces informations. La sécurité informatique est un enjeu assez important pour que même le gouvernement s’y attache. La sécurité comprend des enjeux multiples. Le premier est sûrement la capacité de réponse et de détection des failles, plus que la simple prévention.

Les commentaires sont fermés.