Nombre d'organisations possèdent une vision structurée de la sécurité IT, mais elles n'en font pas grand-chose. Voilà ce qu'écrit VMWare suite à une enquête sur la sécurité effectuée à sa demande. Quelque 86 pour cent des entreprises belges disposent bien d'un plan sur papier (39 pour cent) ou planchent dessus (47 pour cent). En outre, dans plus de 34 pour cent des organisations, chaque employé est informé de ce plan.

Dans la pratique par contre, il y a encore du pain sur la planche. Un quart des organisations semble par exemple ne crypter d'aucune manière leurs fichiers. Seules 35 pour cent des entreprises appliquent la micro-segmentation. Néanmoins, deux tiers ont été la cible d'une cyber-attaque, d'un rançongiciel ('ransomware'), d'une agression DDoS ou d'un autre malware.

Hygiène de base

"En tant qu'organisation, il convient non seulement d'élaborer une politique sécuritaire, mais aussi de former les employés, afin qu'ils sachent, où il pourrait y avoir des problèmes et comment y réagir", explique Bart Coole, country manager Belgique et Luxembourg chez VMware.

VMware conseille dès lors aux entreprises et organisations de consacrer toute l'attention nécessaire dans le cadre de leur planning budgétaire pour 2019 à ce dont elles auront besoin pour appliquer une politique sécuritaire correcte et les 'basic cyber hygiene-principes', comme VMware les appelle. Cela couvre par exemple l'authentification multi-facteur, une vue synoptique des collaborateurs ayant accès à quels systèmes, la micro-segmentation, les mises à jour et le cryptage. Or toutes les entreprises n'en sont pas encore là, selon VMWare. De l'enquête menée, il ressort en effet que 26 pour cent des entreprises ne crypte aucun fichier.

"Ces cinq principes de base, ce sont les éléments à propos desquels nous disons à nos clients: veillez à ce qu'ils soient en ordre", explique Bart Coole à Data News. "On observe par exemple que 27 pour cent des entreprises corrigent (patch) leurs serveurs chaque jour, contre 25 pour cent, qui le font chaque mois. Alors que c'est quand même une forme d'hygiène de base que de veiller à une constante actualisation. La sécurité, ce n'est pas quelque chose qu'on implémente une fois et qu'on laisse ensuite tourner pendant deux ans. Il faut s'en occuper constamment."

La sécurité dans l'hypervisor

VMware est surtout connue pour son software de virtualisation, mais elle tente depuis quelque temps déjà d'élargir son horizon. "Tout le monde connaît notre hypervisor, mais nous avons évolué ces dernières années", affirme Bart Coole à Data News. "Si vous considérez vSphere, notre hypervisor, eh bien sa part se réduit dans l'ensemble de nos rentrées. Il reste la base, mais nous ciblons désormais aussi d'autres marchés. Au départ de la virtualisation, nous nous sommes lancés également dans les 'software-defined datacenters', les réseaux et la sécurité."

A propos de ce dernier point, il s'agit notamment d'AppDefense, une solution de 'security in de hypervisor', qui a été lancée il y a deux ans. Mais il y a d'autres projets en chantier, selon Coole. "Même si nous ne voulons pas devenir un vendeur de produits de sécurité", précise-t-il. "Nous créons certains produits, mais nous collaborons avec des vendeurs. Dans le domaine de la sécurité, il y a des centaines d'entreprises. Pour les clients finaux, c'est un véritable casse-tête: non seulement parce qu'il existe autant d'entreprises, mais aussi parce il y a tant de différents aspects qui jouent un rôle. Vous devez non seulement protéger votre réseau, mais aussi vos données. Il s'agit aussi de tenir compte de la mobilité, etc."

Quoi de plus logique dès lors que l'objectif de VMware soit d'améliorer la sécurité en la supportant en tant que plate-forme sous-jacente. "Nous assurons une sécurité consistante. Les paramètres sécuritaires auto-hébergés migreront vers le nuage et vice versa", ajoute Coole en guise d'exemple.

Pour son enquête, Research Now SSI a, à la demande de VMware, interrogé 500 chefs d'entreprise impliqués dans les activités IT de leur organisation et ce, tant en Belgique qu'aux Pays-Bas. Le groupe de participants est réparti sur les secteurs public et privé.

Voici le top six des problèmes de sécurité:

1. Malware sur l'ordinateur (22%)

2. Malware sur le réseau (21%).

3. Vol de données (11,6%)

4. Attaque DDos (11%)

5. Malware sur les appareils mobiles (10%)

6. Rançongiciel (9%)