Comprendre les subtilités de la gestion des actifs informatiques permet de mettre en évidence une série de problèmes affectant l’efficacité et la sécurité de l’organisation. La complexité croissante des environnements informatiques, aggravée par la prolifération des appareils et des applications, exige une attention méticuleuse à la gestion du cycle de vie des actifs. Ne pas relever ces défis peut entraîner une augmentation des vulnérabilités et des coûts opérationnels.
Prévalence alarmante des actifs informatiques en fin de vie et mal gérés
L’état des actifs informatiques aujourd’hui
Selon une étude approfondie analysant 1,2 million d’actifs informatiques parmi les clients et prospects de Sevco, les données montrent que 6 % des actifs informatiques sont en fin de vie, c’est-à-dire qu’ils ne bénéficient plus de l’assistance ou des mises à jour du fournisseur, ce qui les expose à des vulnérabilités connues.
Près d’un tiers des actifs informatiques souffrent d’une mauvaise gestion, ce qui met en évidence des lacunes généralisées en matière de contrôle des stocks, de mise à jour des logiciels et de correctifs de sécurité.
Plus alarmant encore, 28 % des actifs informatiques sont dépourvus d’au moins un contrôle critique, comme la protection des points d’accès ou la gestion des correctifs. Les contrôles sont essentiels au maintien de la sécurité et de l’intégrité d’un environnement informatique, et leur absence ouvre la porte à des violations potentielles et à des perturbations opérationnelles.
Cauchemars de sécurité déclenchés par des logiciels obsolètes
Les logiciels obsolètes présentent un risque majeur pour la sécurité des entreprises, en augmentant la surface d’attaque et en exposant les organisations à des exploits. Les conséquences de l’absence de mise à jour ou du remplacement de logiciels obsolètes peuvent être graves, comme l’ont montré plusieurs brèches de sécurité très médiatisées.
Un regard plus approfondi sur les failles majeures dues à des logiciels obsolètes
Un bon exemple est la violation très médiatisée de British Airways en 2018, attribuée à une version obsolète de JavaScript. La violation a entraîné le vol de données sur les clients, causant un préjudice financier et de réputation à la compagnie aérienne.
Un autre incident majeur est l’attaque du logiciel malveillant WannaCry en 2017, qui a exploité les vulnérabilités des systèmes Windows XP obsolètes dans les hôpitaux britanniques – perturbant les services de soins de santé et mettant en évidence les conséquences désastreuses de la dépendance à l’égard de logiciels obsolètes.
Coûts élevés liés à la maintenance de systèmes obsolètes
Les entreprises sont confrontées à un choix difficile lorsqu’elles ont affaire à des logiciels obsolètes : investir dans une assistance prolongée coûteuse ou risquer de fonctionner avec des vulnérabilités non corrigées.
Par exemple, les mises à jour de sécurité étendues pour les PC Windows 10 après la fin de vie en octobre 2025 devraient coûter 427 $ pour trois ans. À titre de comparaison, la maintenance d’un PC sous Windows 7 jusqu’en 2023 coûte 490 dollars, ce qui montre bien la charge financière associée à la sécurisation des systèmes obsolètes.
Les entreprises doivent évaluer ces coûts par rapport aux risques potentiels liés à l’utilisation de logiciels non pris en charge. Si l’extension de l’assistance constitue une protection temporaire, il est souvent plus rentable et plus sûr, à long terme, de passer à des systèmes plus récents, bénéficiant d’une assistance complète.
Les dangers des systèmes non autorisés et leurs conséquences désastreuses
Les systèmes non autorisés, souvent appelés « shadow IT », représentent une menace croissante pour la sécurité des entreprises. Les employés déploient parfois des logiciels ou du matériel sans l’approbation du service informatique, en contournant les protocoles de sécurité établis, ce qui entraîne de graves vulnérabilités au sein de l’infrastructure de l’organisation.
Des incidents réels qui constituent des avertissements clairs
En 2023, une attaque contre Okta a exploité les pratiques de l’informatique parallèle. Les informations d’identification de l’entreprise ont été sauvegardées sur un compte Google personnel, ce qui n’est pas du ressort des mesures de sécurité de l’entreprise.
Cette attaque a mis en lumière les dangers de l’informatique parallèle, où des points d’accès non autorisés peuvent conduire à de graves violations de données et à des perturbations opérationnelles. Les risques augmentent lorsque les employés, inconscients des implications en matière de sécurité, exposent par inadvertance des données sensibles par le biais de ces outils non autorisés.
Meilleures pratiques pour transformer la gestion des technologies de l’information et réduire les risques
L’une des pratiques les plus efficaces consiste à maintenir et à mettre à jour un inventaire complet de tous les systèmes, logiciels, utilisateurs et points d’accès aux données. Cet inventaire doit couvrir tous les biens de l’organisation afin d’assurer une visibilité et un contrôle complets.
La mise en œuvre de contrôles d’accès et de mécanismes de surveillance stricts est une autre stratégie clé. Ces mesures limitent la capacité des employés à installer des logiciels non autorisés, ce qui réduit le risque d’informatique fantôme.
Des audits réguliers permettent d’identifier les appareils et les applications non autorisés, ce qui permet aux équipes informatiques de prendre rapidement des mesures correctives.
Il est tout aussi important de sensibiliser les employés aux dangers de l’utilisation d’outils non autorisés. La promotion de cette culture de la sécurité aidera les entreprises à mieux atténuer les risques associés à l’informatique parallèle.
Élaborer des stratégies à toute épreuve pour renforcer la sécurité informatique
Pour mettre en place un cadre de sécurité informatique solide, les organisations doivent mettre en œuvre des stratégies globales qui tiennent compte des facteurs technologiques et humains, depuis les audits réguliers jusqu’aux programmes de formation continue, en passant par une gestion rigoureuse de la configuration.
Audits et évaluations des risques
La réalisation d’audits et d’évaluations des risques approfondis doit être une priorité. Des audits réguliers permettent d’identifier les vulnérabilités et de garantir le respect des politiques de sécurité.
Une gestion rigoureuse de la configuration protège davantage les actifs informatiques en maintenant des paramètres et des contrôles cohérents dans tous les systèmes, ce qui minimise le risque de mauvaises configurations susceptibles d’être exploitées par des pirates.
Responsabiliser les équipes par la formation et l’optimisation des processus
La formation des employés aux meilleures pratiques de sécurité est absolument essentielle pour maintenir un environnement informatique sécurisé. Des sessions de formation régulières permettent au personnel de se tenir au courant des dernières menaces et des mesures préventives.
L’adaptation des processus aux besoins du personnel permet de mieux soutenir la conformité et l’efficacité de la sécurité. Par exemple, en simplifiant les protocoles de sécurité et en les intégrant dans les flux de travail quotidiens, il est plus facile pour les employés de les suivre, ce qui réduit la probabilité de pratiques informatiques fantômes.
Les organisations devraient également mettre en place des boucles de retour d’information permettant aux employés de signaler d’éventuels problèmes de sécurité sans crainte de représailles, afin d’encourager une attitude proactive à l’égard de la sécurité et d’identifier et de traiter rapidement les vulnérabilités.
L’équilibre entre les solutions technologiques et les approches centrées sur l’homme aide les entreprises à mettre en place une ligne de défense solide et résistante face à l’évolution des cybermenaces.
Les points de vue des professionnels de la sécurité en première ligne
Les points de vue de professionnels chevronnés de la sécurité permettent de mieux comprendre comment naviguer dans les méandres de la sécurité informatique. Tim West, directeur de la veille sur les menaces chez With Secure, et Ilia Kolochenko, PDG d’ImmuniWeb, ont partagé des informations précieuses sur l’équilibre entre les stratégies technologiques et les stratégies centrées sur l’homme.
Équilibrer la technologie et l’intuition humaine pour une sécurité supérieure
Tim West souligne qu’une stratégie de sécurité réussie ne peut reposer uniquement sur la technologie. Il souligne l’importance de comprendre les facteurs humains qui se cachent derrière l’informatique parallèle. Les employés contournent souvent les protocoles de sécurité pour améliorer leur productivité, créant ainsi par inadvertance des vulnérabilités. Pour y remédier, il faut à la fois des solutions techniques détaillées et une compréhension et une adaptation du comportement humain.
Ilia Kolochenko souligne la nécessité d’un inventaire complet de tous les actifs informatiques, y compris les logiciels, les utilisateurs et les points d’accès aux données, et préconise des mises à jour continues et des audits réguliers pour maintenir la sécurité. M. Kolochenko met également en garde contre les risques posés par les développeurs, même expérimentés, qui pourraient déployer des conteneurs expérimentaux avec des données de production dans des environnements non sécurisés.
West et Kolochenko s’accordent à dire que les programmes de formation adaptés aux besoins spécifiques du personnel sont décisifs. Les employés doivent comprendre les implications de leurs actions en matière de sécurité et disposer de processus clairs et conviviaux à suivre, ce qui renforce la posture de sécurité globale.
Soutenir les pratiques de sécurité informatique à long terme
Une cartographie régulière des actifs externes est essentielle pour comprendre et gérer la surface d’attaque de l’organisation en identifiant tous les actifs exposés à des menaces externes et en évaluant leur état de sécurité. La mise à jour de cette carte permet de remédier rapidement à toute vulnérabilité éventuelle.
Limiter l’installation de logiciels et d’applications inutiles réduit également considérablement les vecteurs d’attaque à la disposition des intrus potentiels. Un environnement logiciel rationalisé et bien contrôlé est plus facile à sécuriser et à gérer.
L’apprentissage et l’adaptation continus sont essentiels pour garder une longueur d’avance sur les menaces émergentes. Les organisations doivent se tenir au courant des dernières tendances et technologies en matière de sécurité et encourager une culture de la sécurité en leur sein.
Les organisations devraient mettre en œuvre des politiques strictes régissant l’installation de nouveaux logiciels, accompagnées d’audits réguliers pour faire respecter ces politiques.
Encourager les employés à signaler les activités suspectes et leur fournir les outils et les connaissances nécessaires pour le faire peut grandement contribuer à la capacité de l’organisation à détecter les menaces et à y répondre rapidement.
Les dirigeants doivent se faire les champions de ces initiatives, allouer les ressources nécessaires et soutenir une culture de sensibilisation à la sécurité et d’amélioration continue. Grâce à ces efforts, les entreprises peuvent mettre en place une défense résiliente capable de résister à la nature et à la complexité en constante évolution des cybermenaces.