Services
Formation virtuelle IBM i
Découvrirez comment démarrer avec Watson sur IBM i aujourd'hui
En savoir plusSoutien technique
Pour la plupart des entreprises IBM i occupées à créer et à maintenir les applications qui font tourner l’entreprise et qui ne sont pas seulement en sous-effectif chronique, mais aussi en sous-effectif structurel, la chose la plus intelligente à faire en matière de sécurité est de capituler.
Vous avez bien lu. Elles doivent baisser les bras, carrément et sans réserve.
Non, nous ne voulons pas dire qu’elles doivent ouvrir tous les ports de leur serveur, désactiver le pare-feu, laisser entrer les logiciels rançonneurs et les logiciels malveillants, et laisser les pirates et les hameçonneurs faire ce qu’ils veulent. Ce que nous entendons par « capituler », c’est que la plupart des entreprises IBM i doivent cesser de penser qu’elles disposent des outils — et encore moins de l’expertise pour les utiliser correctement — pour sécuriser leurs machines dans un univers informatique de plus en plus hostile. Elles doivent admettre qu’elles ont besoin d’aide et que la sécurité doit faire partie intégrante de leur budget informatique.
Étant donné que le coût moyen d’une violation par logiciel rançonneur est de 4,6 millions de dollars et que le temps d’arrêt nécessaire pour rétablir les activités peut varier de quelques jours à plusieurs semaines, quand cela est possible — oui, nous connaissons des entreprises qui ont été littéralement mises hors service par des violations de la sécurité —, la sécurité de la plate-forme IBM i, et de tous les systèmes critiques qui interagissent avec elle, doit être en tête des priorités, sinon, LA priorité absolue, et ce dès maintenant.
Pour de nombreuses raisons, les gens sont dépassés par la sécurité. Ils ont mis en place certaines choses qui fonctionnent, alors ils ont peur de toucher à quoi que ce soit parce qu’ils n’ont pas l’expertise nécessaire pour connaître les effets des modifications qu’ils pourraient apporter aux paramètres de sécurité du système d’exploitation IBM i, de la base de données Db2 pour IBM i ou de la sécurité périmétrique — pare-feu, systèmes de détection d’intrusion, etc. En termes de préoccupation, la sécurité figure peut-être en tête de liste, mais en termes d’actions, elle est reléguée au bas de la liste parce que les gens ne savent pas par où commencer dans notre nouvel environnement informatique, réseau et Internet de moins en moins sûr. Les gens ont tendance à se limiter à ce qu’ils sont capables de faire, à remettre à plus tard ce qu’ils ne savent pas faire en espérant que tout ira bien.
Ce n’est évidemment pas une stratégie saine, en particulier lorsqu’il s’agit de sécurité, vous vous en doutez bien.
Il ne s’agit pas non plus d’instaurer un climat de peur, ce que nous n’essayons absolument pas de faire ici dans cette rubrique. En vérité, depuis des années, les fournisseurs du secteur de la sécurité tentent de semer la peur chez les clients pour les inciter à agir, mais cela n’a pas beaucoup de succès. Malgré le fait que nous offrons la sécurité des points de sortie pour les plates-formes OS/400 et IBM i depuis plus de deux décennies maintenant, moins de 10 % de la clientèle utilise cette technologie. Cette stratégie ne fonctionne pas.
Alors, qu’est-ce qu’on peut faire? Nous revenons à la prémisse de cette chronique. Reconnaissez que vous êtes dépassé par les événements et demandez de l’aide. Il y a des experts qui savent exactement quoi faire dans votre situation particulière, qui peuvent vous aider à sécuriser vos systèmes et, c’est là l’essentiel, travailler avec vous pour qu’ils restent sécurisés. Il faut simplement s’avouer vaincu et laisser les experts s’en occuper. Vous devez convaincre le propriétaire, le président ou le conseil d’administration de votre entreprise que dans l’environnement actuel, tout le monde peut devenir une cible comme dans l’affaire Target et, compte tenu de l’augmentation exponentielle des menaces de piratage, les dommages pourraient ressembler à ceux que ce détaillant a subis après la violation de ses données à la fin de 2013, lorsque 41 millions de comptes de cartes de crédit et 110 millions de comptes de renseignements personnels ont été volés. Non seulement cette situation a-t-elle été embarrassante pour le service des TI de Target et pour sa réputation en tant qu’entreprise Fortune 500, mais en plus l’entreprise a dû essuyer un recours collectif de 18,5 millions de dollars et a également dû distribuer aux victimes un abonnement d’un an à un logiciel de surveillance. Jusqu’à la fin de 2016, le coût total de la violation des données s’est élevé à 292 millions de dollars, et le directeur général Gregg Steinhafel a dû démissionner. Certains de ces coûts étaient couverts par une police d’assurance cybersécurité — si vous n’en avez pas, vous devriez en souscrire une immédiatement —, mais certains ne l’étaient pas.
Ce ne sont pas là des propos alarmistes, simplement des faits. Et si vous n’avez pas de sécurité sur les points de sortie de vos applications ni sur le système de fichiers intégré et si vous n’avez pas d’assurance cybersécurité, alors vous savez que vous devez le faire illico presto. Nous savons que les entreprises IBM i n’ont pas peur de mettre le prix pour un système haut de gamme, mais elles doivent commencer à penser qu’elles ont également besoin d’une sécurité haut de gamme dans ce système, laquelle peut être éventuellement offerte sous forme de service. On peut être avare de beaucoup de choses — et les clients IBM i sont légendaires pour leur frugalité, croyez-nous, nous le savons —, mais la sécurité ne peut plus en faire partie. À l’instar d’autres logiciels et services essentiels à l’entreprise (la mise en grappe à haute disponibilité en est l’exemple le plus probant), il existe de nouveaux modèles de licence de sécurité qui réduisent considérablement le coût des logiciels de sécurité. Fresche, qui vient d’acquérir Trinity Guard et le progiciel de sécurité et de conformité TGSuite, vient d’annoncer un modèle d’abonnement.
Alors, par où commencer? Il existe des évaluations gratuites et à prix modique qui mettent en évidence les zones de votre système qui pourraient être à risque. La sécurité n’est pas quelque chose que l’on établit une fois pour toutes. Ainsi, après une évaluation, vous prendrez des mesures correctives et mettrez en place des mesures de protection. Même les entreprises IBM i les plus importantes, les plus sophistiqués et les plus sécurisés du monde surveillent et appliquent la gestion des accès les moins privilégiés, en ajustant les paramètres d’autorité quand cela est nécessaire. Cela inclut les entreprises IBM i qui disposent d’outils de divers fournisseurs pour faciliter cette tâche. Mais vous ne pouvez pas vous contenter d’utiliser l’outil une fois, de le paramétrer et de ne plus y penser. Vous devez être vigilant; surveiller et gérer en permanence la sécurité.
Et voici un point très important qu’il faut souligner. Ce n’est pas parce que vous vous conformez à diverses réglementations en matière de sécurité — GDPR, SOX, JSOX, PCI-DSS, HIPAA, la salade de sigles ne cesse de s’agrandir — que votre système, ses applications et ses données sont sécurisés. Ce n’est pas parce que vos vérificateurs affirment que vos systèmes sont conformes à la réglementation qu’ils sont nécessairement sécurisés.
Je recommande aux entreprises de commencer par une évaluation pour savoir où elles en sont, définir les menaces potentielles et élaborer un plan pour y faire face, en commençant par les points qu’il est possible de corriger immédiatement. Une violation ou un piratage est extrêmement déstabilisant et il y a tellement d’étapes à franchir pour parvenir au meilleur résultat possible. C’est là qu’un expert comme Fresche peut faire la différence.
En vous faisant aider par des experts, vous pouvez vous concentrer sur votre entreprise et avoir l’esprit tranquille en sachant que vos systèmes et vos données essentiels sont entre de bonnes mains. Vous pourrez ainsi dormir sur vos deux oreilles et poursuivre vos activités le lendemain.
Nous organisons également une séance spéciale pour explorer par où commencer et comment configurer les défenses sur votre système IBM i. Vous pouvez vous inscrire ici.
