Livre. blanc. Juin Ce livre blanc ESG a été commandé par Hewlett-Packard et est distribué sous licence d ESG.

Transcription

1 Livre blanc Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile Guide pour les petites et moyennes entreprises Par Colm Keegan, analyste principal, Dan Conde, analyste, et Leah Matuson, analyste de la recherche Juin 2015 Ce livre blanc ESG a été commandé par Hewlett-Packard et est distribué sous licence d ESG The Enterprise Strategy Group, Inc. Tous droits réservés.

2 Sommaire Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile2 Introduction : L'importance de protéger les ressources informatiques et d'entreprise des PME... 3 Les PME manquent cruellement de compétences informatiques... 4 La tendance de la mobilité au travail et du AVEC génère des opportunités et des risques... 5 Des solutions qui sécurisent la mobilité des données et protègent à distance... 6 Le réseau sécurisé : les fondations de la protection d'entreprise... 7 La nécessité d'une approche de sécurité multiple pour l'entreprise... 7 Intégrer des outils de gestion et de sécurité pour garantir visibilité et protection... 8 Importance de la conformité aux normes et processus de l'industrie... 9 Le besoin de protection en temps réel contre les menaces Autres considérations informatiques pour la protection de l'entreprise La disponibilité continue comme outil concurrentiel essentiel Une infrastructure informatique évolutive à la demande La protection des données centralisée et unifiée est essentielle Des services professionnels de bout en bout La réalité des faits Tous les noms de marques de commerce sont la propriété des sociétés qui en sont titulaires. L information figurant dans cette publication a été obtenue auprès de sources qu'enterprise Strategy Group (ESG) considère fiables, mais ESG ne peut garantir la légitimité de l information obtenue. Cette publication peut contenir des avis d'esg qui pourraient changer avec le temps. Cette publication est protégée par les droits d'auteur d'enterprise Strategy Group, Inc. Toute reproduction ou redistribution, partielle ou totale, de la présente publication, que ce soit sous format imprimé ou électronique ou tout autre format, à des personnes non autorisées à la recevoir, sans le consentement exprès de The Enterprise Strategy Group, Inc., constitue une infraction aux lois américaines en matière de droits d auteur et donnera lieu à des poursuites civiles et, le cas échéant, à des poursuites pénales. Pour toute question, veuillez communiquer avec le service de relations clients d'esg au

3 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile3 Introduction : L'importance de protéger les ressources informatiques et d'entreprise des PME Les petites et moyennes entreprises (PME) ont beaucoup de travail pour ce qui est d'assurer leur santé, leur vitalité et leur succès. Entre une économie en redressement, un marché de plus en plus compétitif, des dynamiques de marché en constante évolution et des menaces de sécurité continues et permanentes, les PME ont besoin de moyens fiables et efficaces pour protéger et sécuriser leurs ressources de données d'entreprise. Les PME peuvent être plus agiles et répondre plus rapidement aux demandes des clients et aux opportunités émergentes que les grandes entreprises, mais elles disposent généralement de ressources financières limitées pour investir dans une infrastructure informatique et manquent du personnel requis pour garantir un fonctionnement 24h/24, 7j/7 de l'entreprise. De plus, les clients et partenaires d'entreprise attendent des PME qu'elles fournissent un accès aux informations et services d'entreprise à partir de n'importe quel périphérique et dans tous les pays pour améliorer l'expérience utilisateur, alors que les employés recherchent de nouvelles manières d'optimiser leur productivité (avec ou sans le consentement du département informatique interne). Alors que de nombreuses PME progressent sur de nouvelles initiatives telles que la mobilité des applications pour prendre en charge les écosystèmes de leurs clients, partenaires et employés, de nouvelles inquiétudes émergent, à savoir si elles peuvent partager en toute sécurité leurs données d'entreprise sans créer de failles de sécurité au niveau des informations. De la même manière, comment peuvent-elles protéger leurs données sur une multitude de serveurs d'applications et de périphériques utilisateur dispersés? Et pour répondre aux nouvelles demandes de l'entreprise, être en mesure d'exploiter les nouvelles opportunités de marché et rester compétitives, les PME ont besoin que leurs infrastructures d'application soient flexibles et capables d'évoluer sans ajouter de complexité ni augmenter les coûts. Comme énoncé précédemment, le principal défi pour la plupart des PME est tout simplement de ne pas pouvoir consacrer le temps ou les ressources nécessaires pour remplir l'ensemble de leurs exigences informatiques, tout en restant concentrées sur leur activité de base. Pour surmonter les obstacles et les risques de l'ère numérique, tout en positionnant leurs entreprises pour qu'elles réussissent, les PME ont besoin de collaborer avec des services professionnels disposant de l'expertise qui les guidera de manière sûre sans l'atteinte des six principales initiatives informatiques pour l'entreprise : Mobilité des données. Avec la tendance de plus en plus courante du AVEC (apportez votre équipement personnel de communication), les entreprises doivent pouvoir être capables de créer et d'appliquer des politiques permettant d'améliorer la productivité des employés, tout en assurant la sécurité des données sensibles d'entreprise. Un cadre de sécurité des informations solide (pour les menaces externes et internes) Protéger les données sensibles et critiques est essentiel à toutes les entreprises. Que les menaces soient externes ou internes à l'entreprise, si les données de la société sont compromises, le risque est de perdre des revenus, la confiance du client, et d'entacher la réputation auprès des clients et du public. Une disponibilité des applications 24h/24, 7j/7. Les PME doivent être sûres que leurs applications métier sont hautement disponibles et accessibles 24h/24, 7j/7.Avec une activité effectuée partout, à tout moment, les entreprises ont besoin de fournir un accès aux applications continu, fiable et sécurisé à leurs employés, clients et prospects. Une infrastructure évolutive. Pour développer une entreprise, vous devez répondre à ses besoins sans cesse en évolution. Pour y arriver, l'entreprise doit disposer d'une infrastructure capable d'évoluer, pour limiter les coûts d'investissement et d'exploitation, réduire les ressources déployées et offrir une expérience utilisateur cohérente et productive. Une protection des données générale de bout en bout. Les données doivent être activement protégées, partout : dans les centres de données centralisés, sur les sites des bureaux distants et sur les périphériques des utilisateurs sur le terrain. Pour simplifier la gestion opérationnelle, un cadre de sauvegarde et de récupération commun doit être utilisé. Des services professionnels de bout en bout. Les PME ont besoin de développer des partenariats clés avec des entreprises capables de fournir des services de conseil, de formation et de maintenance continue. Les services peuvent également inclure une gamme d'offres de services financiers, qui permettent à une PME d'acquérir les ressources nécessaires pour faire avancer l'entreprise.

4 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile4 Les PME manquent cruellement de compétences informatiques La plupart des entreprises ne disposent pas des compétences informatiques nécessaires pour répondre aux principales exigences métier. En fait, selon une étude d'esg réalisée auprès de professionnels informatiques interrogés sur les plus grands manques au niveau du personnel informatique au sein de leur entreprise, la réponse la plus fréquente a été encore une fois (et pour la quatrième année consécutive) la sécurité des informations (voir Figure 1). 1 Le manque de compétences en sécurité informatique au sein des PME peut rendre ces dernières vulnérables au piratage et au vol de données (en interne et en externe), menaçant la disponibilité des applications et des informations de l'entreprise, ou pire encore. De plus, certaines organisations manquent également de compétences essentielles en conception d'architectures informatiques, en gestion des périphériques mobiles et en déploiement d'applications mobiles. Ces compétences deviennent de plus en plus importantes car les entreprises cherchent à améliorer l'expérience des utilisateurs et des clients et à profiter des nouvelles opportunités du marché. Fondamentalement, les PME ont besoin d'adopter une approche globale pour intégrer au mieux les fonctionnalités nécessaires pour favoriser la croissance et assurer la sécurité au sein de leurs environnements informatiques. Pour y arriver, il faut associer de manière adéquate les technologies intelligentes matérielles et logicielles. Il est également très important de s'associer à des entreprises capables de fournir l'expertise et les services professionnels requis pour poser les bases d'une infrastructure hautement performante, disponible, évolutive et sécurisée avec des fonctionnalités de protection des données de bout en bout. Enfin, grâce aux programmes de formation et de certification professionnels fournis par le partenaire, les PME peuvent concevoir l'expertise interne requise pour devenir encore plus autonomes. Figure 1. Domaines technologiques affichant un manque de compétences problématique Selon vous, votre département informatique présente-t-il actuellement un manque de compétences problématique parmi les domaines technologiques suivants? (Pourcentage de participants, N=591, plusieurs réponses acceptées) Sécurité des informations Architecture et planification informatiques Gestion des périphériques mobiles Développement d'applications mobiles Virtualisation de serveurs/infrastructure de nuage privé Développement d'applications Business intelligence/analyses de données Protection des données (sauvegarde et récupération) Administration réseau Administration des serveurs Administration des bases de données Service/centre d'assistance Gestion de la conformité, surveillance et rapports Administration du stockage Réseaux d'entreprise/technologies de collaboration Réseaux sociaux/technologies marketing Nous ne présentons aucun manque de compétences technologiques. 23 % 22 % 21 % 19 % 19 % 18 % 17 % 17 % 16 % 16 % 16 % 15 % 13 % 13 % 13 % 13 % 28 % 0% 5% 10% 15% 20% 25% 30% 1 Source : Rapport de recherche ESG, 2015 IT Spending Intentions Survey (Enquête sur les dépenses prévues en informatique en 2015), février 2015.

5 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile5 Source : Enterprise Strategy Group, La tendance de la mobilité au travail et du AVEC génère des opportunités et des risques La tendance de la mobilité au travail est devenue rapidement un impondérable technologique. Grâce à une large gamme de périphériques informatiques mobiles (ordinateurs portables, clients légers, tablettes et téléphones intelligents et à de nombreux outils de collaboration et de partage des fichiers, les entreprises peuvent travailler partout, à tout moment et sur n'importe quel périphérique. Pour être compétitives, les PME doivent fournir des moyens à leur personnel, partenaires et clients de sécuriser l'accès aux données adéquates. Alors que cette tendance offre l'opportunité d'améliorer la productivité du personnel et l'expérience du client, elle peut engendrer d'importantes failles de sécurité des données mais aussi des risques au niveau de la protection des informations. Protéger les données à l'extérieur et à l'intérieur du pare-feu Avec toutes ces récentes histoires de vols de données, la plupart des entreprises sont conscientes de ce qu'il peut arriver lorsque les données ne sont pas protégées de manière adéquate. Les informations stratégiques et sensibles compromises entraînent une perte de confiance chez le client, de revenus, et entachent la réputation de l'entreprise. Néanmoins ces types de failles et leurs conséquences ne se limitent pas aux multinationales. Au contraire, les PME doivent être aussi consciencieuses sur la protection de leurs données et de leurs réseaux. De plus, les PME ne doivent pas se contenter de se protéger des menaces extérieures au pare-feu de l'entreprise. Elles doivent également être vigilantes sur la protection contre les menaces présentes au sein de l'entreprise. Certains employés disposant de comptes privilégiés peuvent avoir accès aux informations sensibles et stratégiques, aux dossiers financiers et aux éléments de propriété intellectuelle. Et ceux qui n'ont pas d'identifiant peuvent trouver le moyen d'utiliser celui d'un compte privilégié pour accéder aux données propriétaires de l'entreprise. Ce n'est donc pas surprenant que l'une des principales priorités d'une entreprise est de se protéger et de sécuriser ses données. Pour compliquer encore davantage le travail du département informatique, plutôt que d'utiliser les programmes de partage de fichiers validés par la société, les employés utilisent les applications de partage et de synchronisation de fichiers sur le nuage public pour stocker et récupérer les informations sensibles ou stratégiques. En faisant cela, ils peuvent compromettre les données de l'entreprise, laissant la porte grande ouverte aux attaques malveillantes. Donc, vu que les entreprises travaillent partout, à tout moment, sur n'importe quel périphérique, il est impératif que les PME créent, adoptent et appliquent des politiques pour protéger les données stratégiques et vitales, tout en faisant fonctionner leur entreprise, en limitant les coûts, en conservant leurs clients et en attirant de nouveaux. Même si cela semble être une tâche difficile, ce ne l'est pas nécessairement. Mobilité et sécurité des informations Les PME ont besoin d'améliorer la productivité de leurs utilisateurs et de simplifier leurs interactions avec leurs partenaires et clients. De plus, la mobilité des applications est une initiative clé que les PME doivent adopter pour accroître leur compétitivité et générer une croissance de revenus. Le défi pour le département informatique, vu le nombre plus important de périphériques se connectant via le réseau de l'entreprise, est la probabilité plus grande d'accès non autorisés aux données d'entreprise sensibles. Ces données peuvent être des numéros de cartes bancaires de clients, des informations de comptes bancaires, des fichiers sur les salaires et des éléments de propriété intellectuelle. De plus, les PME doivent avoir conscience que le vol de données peut survenir aussi facilement en interne qu'en externe, par le biais d'un pirate à l'extérieur du pare-feu qui arrive à accéder au réseau de l'entreprise. Selon une étude récente d'esg, 29 % des professionnels informatiques interrogés ont indiqué qu'ils avaient déjà subi plusieurs failles de données suite à la corruption d'un périphérique mobile et 18 % au moins une fois (voir Figure 2). 2 Pour protéger les données d'entreprise, les PME ont besoin de solutions intégrant plusieurs couches de sécurité. et notamment : 1. Sécurité réseau : Utiliser des périphériques réseau intelligents protégeant l'entreprise en première ligne et en temps réel. Les périphériques réseau placent d'abord tous les utilisateurs en quarantaine jusqu'à ce que leur autorisation soit vérifiée, puis autorisent l'accès à certaines données. 2 Source : ESG Research Report,The State of Mobile Computing Security, février 2014.

6 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile6 2. Réseau défini par logiciel (SDN) : Sécurité automatisée de bout en bout sur les commutateurs, routeurs et points d'accès sans fil du réseau pour une protection contre les réseaux zombies, les logiciels malveillants et les sites espions. Le réseau SDN peut hiérarchiser le trafic réseau, par exemple les données critiques par rapport aux réseaux sociaux, pour s'assurer que les données critiques ont la priorité sur les ressources réseau. Le réseau SDN a la capacité d'isoler et d'inspecter chaque périphérique pour s'assurer que seuls les utilisateurs autorisés peuvent accéder aux applications métier et données sensibles. 3. Analyse de la sécurité : Les sondes réseau virtuelles non intrusives peuvent analyser les données lorsqu'elles sont transférées par voie filaire. Ces sondes comparent les modèles de trafic à l'activité normale du trafic et signalent et isolent le trafic réseau en cas d'activité anormale, par exemple lors d'attaques de déni de service distribuées, etc. 4. Authentification multifactorielle (MFA) : Logiciel d'application capable de détecter une demande d'identification d'utilisateur provenant d'un périphérique ou d'un site inconnu (pays étranger). Le logiciel demande à l'utilisateur une clé comme mot de passe supplémentaire qui est envoyé au compte connu de messagerie électronique de l'utilisateur, réduisant ainsi les vols de données. La clé est de savoir à qui vous parlez, et quels sont les privilèges appropriés à chaque utilisateur avant d'accorder l'accès aux applications métier sensibles. «Faire confiance, mais vérifier» est la stratégie clé, et il est essentiel de disposer d'une infrastructure de sécurité adéquate. Figure 2. Les entreprises ont-elles déjà subi une faille de sécurité suite à la corruption d'un périphérique mobile? À votre connaissance, votre entreprise a-t-elle subi une faille de sécurité suite à la corruption d'un périphérique mobile au cours de l'année précédente? (Pourcentage de participants, N=242) Ne sait pas, 3 % Oui, plusieurs fois, 29 % Non, 50 % Oui, une fois, 18 % Des solutions qui sécurisent la mobilité des données et protègent à distance Source : Enterprise Strategy Group, Il est essentiel pour les PME d'utiliser des solutions vérifiées qui permettent de sécuriser la mobilité des données et de protéger ces données à distance, tout en réduisant la complexité opérationnelle et les coûts, et en assurant la conformité aux exigences réglementaires et de gouvernance des données. Ces solutions doivent fournir une défense proactive via une sécurisation des données, applications et systèmes et idéalement inclure les éléments suivants : Des commutateurs réseau avec intelligence de sécurité intégrée. Les fonctions de sécurité telles que des VLAN séparent le trafic au sein d'un réseau et les listes de contrôle d accès attribuent les accès aux utilisateurs. Ces solutions permettent d'analyser et d'identifier les périphériques lorsqu'ils se connectent au

7 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile7 réseau, puis d'attribuer les privilèges d'accès aux applications en fonction de l'utilisateur (par exemple un compte invité/visiteur ou un employé). Signature de vulnérabilité et mises à jour des correctifs automatisées. Au même moment où de nouveaux virus sont identifiés, les entreprises ont besoin de mettre à jour leurs bases de données de signatures de virus dès que disponibles, afin de réduire leur fenêtre d'exposition. À distance / Reprise après sinistre Comme les données peuvent résider partout et sur n'importe quel périphérique de l'entreprise, les PME doivent pouvoir effacer à distance un périphérique, peu importe où il se trouve. Cette fonctionnalité permet de protéger les données en cas de perte ou de vol d'un périphérique. Authentification sécurisée pour accéder aux applications. Alors que les PME voudraient autoriser un accès à distance à leur personnel, leurs partenaires et leurs clients, ceci ouvre la possibilité de nouvelles attaques de sécurité. Les points d'accès mobiles peuvent être compromis, il est donc vital pour les départements informatiques d'utiliser un moyen d'authentification sécurisé pour accéder aux applications. La tendance du AVEC a compliqué encore plus la tâche des départements informatiques au niveau de la protection des données d'entreprise, donc l'utilisation d'une authentification multifactorielle ajoute un autre niveau de protection. Services d'assistance technique. De la conception initiale, à la configuration, à l'implémentation et à l'assistance continue, les PME ont besoin de partenaires de services professionnels qui peuvent les aider à accroître les niveaux de sécurité et d'automatisation, en assurant la protection continue de l'entreprise. Le réseau sécurisé : les fondations de la protection d'entreprise La nécessité d'une approche de sécurité multiple pour l'entreprise La gestion et la sécurisation du réseau sont deux éléments essentiels de l'infrastructure informatique dans n'importe quelle entreprise. Le défi pour les PME est de permettre au personnel informatique d'acquérir des compétences généralistes afin qu'il puisse remplir de nombreux rôles administratifs : administrateur réseau, administrateur de périphériques sans fil et administrateur de la sécurité. Le besoin de simplicité pour les administrateurs informatiques est particulièrement important étant donné que, comme le montre Figure 1 l'étude d'esg a trouvé que les compétences en sécurité des informations et en gestion des périphériques mobiles manquent dans de nombreuses entreprises. Avec l'augmentation des périphériques AVEC et l'utilisation omniprésente du Wi-Fi, il n'est plus suffisant de faire confiance aux anciennes approches de la sécurité sur un environnement homogène. Une approche multiple est nécessaire pour sécuriser l'entreprise sur l'ensemble des phases de connexion d'un utilisateur ou d'un périphérique aux ressources internes pour accéder aux données de l'entreprise. Si vous vous reposez uniquement sur un périmètre de défense, l'entreprise peut être exposée aux menaces si plusieurs points d'entrée existent. Par exemple, un périphérique mobile AVEC non sécurisé peut introduire une menace potentielle via un point d'accès Wi-Fi. Plus particulièrement, voici les différents aspects auxquels les PME doivent réfléchir pour l'implémentation de la sécurité réseau : Périphériques utilisateur. Le département informatique doit être capable de contrôler l'admission des périphériques utilisateur au sein du réseau d'entreprise. Accès direct. Une fois que le périphérique et l'utilisateur sont admis sur le réseau, les accès supplémentaires ne devraient pas être fastidieux. L'authentification à chaque étape est coûteuse et réduit la productivité. Une fois qu'un périphérique est identifié sur le réseau, il ne devrait pas avoir à prouver à nouveau son identité. Identification des utilisateurs. Les utilisateurs doivent être identifiés lorsqu'ils naviguent sur le réseau. L'accès aux ressources au sein d'un réseau est effectué dans un but, donc il doit être suivi. Identification des menaces. Les demandes d'accès inconnues aux ressources clés doivent être identifiées et mises en quarantaine. Le besoin de sécuriser l'infrastructure, les périphériques et les ressources d'informations, qu'elles soient associées aux employés en déplacement, dans les filiales et bureaux distants ou au sein du réseau d'entreprise lui-même, est représenté sur la figure 3.

8 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile8 Figure 3. La sécurité doit être appliquée sur toutes les couches du réseau Fondation : Sécurité intégrée Centre de contrôle Bâtiment principal Travailleur mobile Client mobile Internet Périphérique en quarantaine Routeur Succursale Contrôleur de commutateur et de mobilité Routeur Serveurs et stockage Commutateur Point d'accès Commutateur Point d'accès Source : Hewlett-Packard, Les PME doivent prendre en compte d'autres éléments lors du développement de leur stratégie de sécurité multiple. Premièrement, il y a le rôle de la formation des employés. Par exemple, les employés doivent être formés pour suivre les meilleures pratiques de sécurité, en établissant notamment des mots de passe pour protéger leurs ordinateurs portables, en utilisant des mots de passe forts (et en les modifiant régulièrement) pour accéder aux systèmes d'entreprise et en évitant de télécharger des programmes sur des sites Web non sécurisés. Ceci est une première ligne de défense critique pour conserver la sécurité de l'entreprise. Ensuite, les PME n'ont pas les moyens de se reposer sur une grande équipe de spécialistes pour chaque aspect de la sécurité du réseau. Des services professionnels tiers peuvent aider les entreprises sur de nombreux points : évaluation de la sécurité du réseau, déploiement de l'infrastructure et autres tâches opérationnelles quotidiennes. L'aide d'un tiers peut permettre de créer une solution intégrée et multiple et d'améliorer l'efficacité du personnel de la PME. Intégrer des outils de gestion et de sécurité pour garantir visibilité et protection Comme les entreprises autorisent davantage de périphériques à se connecter à leur réseau tous les jours, il est crucial d'être capable d'accéder à une vision unifiée des politiques de gestion et de sécurité du réseau, car il est difficile pour le département informatique de gérer chaque périphérique individuellement. Comme l'ensemble du système doit être sécurisé, une vision globale du réseau est également requise pour une sécurité complète. Le matériel et le logiciel de gestion doivent être intégrés pour fournir cette vision de bout en bout. Avoir un ensemble fragmenté d'outils de gestion n'est pas utile, et ralentit la réactivité en imposant des tâches répétitives. De plus, sans une approche intégrée, l'administration du réseau devient un goulot d'étranglement qui empêche le déploiement de nouveaux services et applications, et qui peut empêcher la correspondance des événements et des données de différents outils, augmentant ainsi le nombre de potentielles erreurs humaines. En fait, l'étude d'esg montre qu'une architecture de sécurité du réseau intégrée est l'un des facteurs les plus importants dans la stratégie de sécurité réseau d'une entreprise (voir Figure 4) 3. Les entreprises peuvent bénéficier de fonctions de sécurité intégrées dans leurs périphériques réseau. Exemples de fonctionnalités : Des LAN pour la séparation des segments réseau, des listes des contrôles d accès pour contrôler le trafic et la technologie IEEE 802.1x pour l'authentification réseau. Si une entreprise dispose de périphériques existants, 3 Source : Rapport d'étude ESG, Network Security Trends in the Era of Cloud and Mobile Computing, août 2014.

9 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile9 elle doit rechercher et utiliser ces fonctionnalités. En cas d'évaluation de nouveaux équipements, les entreprises doivent choisir des périphériques qui fournissent, au minimum, des LAN, des listes des contrôles d accès et la technologie IEEE802.1x. Comme nous l'avons dit précédemment, la protection contre les attaques de déni de service, ainsi que les contrôles d'accès multiniveaux, sont importants pour plus de sécurité. De plus, les généralistes informatiques profiteront de la gestion centralisée de l'infrastructure réseau provenant d'une console de gestion intégrée. Les départements informatiques peuvent se libérer des tâches de sécurité quotidiennes en fournissant aux utilisateurs les outils de gestion en libre-service adéquats. Ceci permet non seulement aux utilisateurs d'enregistrer eux-mêmes leurs terminaux AVEC sur le réseau, mais aussi de réduire le délai d'intégration des nouveaux utilisateurs. Figure 4. Facteurs ayant un impact important sur le développement de la stratégie de sécurité réseau de l'entreprise Parmi les facteurs suivants, lesquels ont l'impact le plus important sur le développement de la stratégie de sécurité réseau de votre entreprise? (Pourcentage de participants, N=397, cinq réponses acceptées) Prévention/détection des logiciels malveillants Besoin de concevoir une architecture de sécurité réseau intégrée avec contrôle centralisé et application des politiques distribuées Prise en charge des initiatives informatiques mobiles Besoin d'une sécurité réseau plus flexible pour prendre en charge des processus métier dynamiques Prise en charge des initiatives infonuagiques Conformité réglementaire 52 % 48 % 46 % 43 % 43 % 43 % Besoin de mieux comprendre le comportement du réseau pour la détection et la résolution des incidents Besoin de faire évoluer la sécurité réseau à cause de l'augmentation du trafic réseau 37 % 36 % Ouverture des accès réseau aux utilisateurs externes à l'entreprise 24 % Importance de la conformité aux normes et processus de l'industrie 0 % 10 % 20 % 30 % 40 % 50 % 60 % Source : Enterprise Strategy Group, Les périphériques réseau peuvent varier en fonction des configurations : filaires ou sans fil (Wi-Fi), physiques ou virtuelles (LAN ou réseau SDN). Même si l'on doit gérer chaque caractéristique réseau séparément, il est important de voir l'ensemble des caractéristiques de manière unifiée. Les entreprises ne peuvent plus isoler leurs ressources informatiques telles que leurs ordinateurs portables des périphériques AVEC des employés comme les tablettes et les téléphones intelligents. Les départements informatiques doivent au contraire traiter tous les types de périphériques de la même manière. Les outils de sécurité doivent être simples à utiliser. Lorsque de nouveaux employés ou de services professionnels tiers sont intégrés à un projet, il est inefficace de commencer par former le personnel à de nouvelles interfaces ou à des processus de sécurité complexes. Il est préférable d'utiliser des processus d'administration connus qui permettront aux entreprises de travailler plus efficacement. La confiance dans les normes connues au niveau des technologies et des processus permettra d'apporter familiarité et intégrité sur l'ensemble de l'infrastructure afin qu'aucune partie ne soit négligée.

10 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile10 Le besoin de protection en temps réel contre les menaces Les menaces de sécurité sur le réseau doivent être gérées en temps réel et de manière proactive. Les intrusions sont de plus en plus compliquées et les méthodes d'attaque changent souvent. Par conséquent, les systèmes de détection basés sur les signatures ne suffisent plus à protéger les réseaux. De plus, la détection des logiciels malveillants doit être basée sur une connaissance en temps réel des dernières attaques. Il faut se protéger contre tout un éventail d'activités malveillantes telles que l'exfiltration de données, les rançongiciels ou la fraude au clic. Comme les administrateurs informatiques des PME ne peuvent concentrer tous leurs efforts sur tous les détails de sécurité de faible niveau, s'appuyer sur une infrastructure automatisée pour appliquer les mesures de sécurité au niveau du réseau et des applications les libéreraient au profit de tâches à valeur ajoutée. Alors que le paysage des menaces de sécurité est étendu et que de nouvelles menaces émergent chaque jour, les entreprises peuvent ériger une défense complète et efficace qui réduirait les risques sans empêcher leurs activités de fonctionner. La clé réside dans le choix de solutions adoptant une approche de la gestion de la sécurité multiple de bout en bout et dans l'association avec des entreprises de services qui peuvent appliquer ces technologies pour répondre aux besoins uniques de l'entreprise. Au-delà de la sécurité Mais la sécurité n'est pas la seule pièce du casse-tête de l'infrastructure informatique. Pour assurer le fonctionnement de leur entreprise, les PME doivent également protéger leurs données, où qu'elles résident. Cela signifie que le département informatique doit avoir la capacité de restaurer rapidement les données à la demande et de faire évoluer le matériel des applications vite, simplement et à moindre coût, pour répondre aux demandes de l'entreprise. Aussi stratégique que la sécurité du réseau, il s'agit de l'une des composantes d'une stratégie informatique complète pour assurer la protection et le fonctionnement de l'entreprise (voir Figure 5). Figure 5. Les piliers de la protection des PME Formation des employés et meilleures pratiques (sécurité, conformité, mobilité) Réseau sécurisé (VLAN, Identity Management, Multifactor Authentication, etc.) Disponibilité continue (infrastructure redondante, plan de continuité de l'activité/ récupération après sinistre) Infrastructure évolutive (réseau, serveur, stockage) Protection des données complète (tous périphériques, applications, emplacements) Source : Enterprise Strategy Group, Autres considérations informatiques pour la protection de l'entreprise La disponibilité continue comme outil concurrentiel essentiel Dans un environnement d'entreprise extrêmement rapide, les pannes ne sont pas autorisées. Pour réussir, les entreprises doivent disposer de ressources d'applications métier disponibles en continu, 24h/24, 7j/7. Ceci signifie

11 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile11 que les services métier stratégiques doivent être extrêmement résilients et capables de résister à une large gamme de pannes. Un manque de disponibilité des applications, ou pire, la perte d'informations critiques, peut entraîner une perte de revenus et de confiance des clients, réduire la productivité du personnel et causer des dommages irréparables à la réputation de la société. Pour réduire le risque de panne des services d'application, il est essentiel pour les PME d'adopter une approche proactive plutôt que réactive. Il est vital de planifier et de préparer des scénarios. En fait, de nombreuses catastrophes se produisent suite à des pannes système quotidiennes, par exemple une panne de courant, la suppression accidentelle de données ou une corruption de la base de données, plutôt qu'un événement cataclysmique comme un tremblement de terre ou une tornade. Il est vital pour l'infrastructure informatique d'une entreprise de disposer de fonctionnalités intégrées de protection des données capables d'assurer la restauration rapide des informations en cas de perte de données suite à une erreur humaine, un dysfonctionnement matériel ou à une attaque malveillante. Selon l'étude récente d'esg, l'amélioration de la sauvegarde et de la restauration des données figure parmi les principales priorités des participants professionnels informatiques, et la sécurité des informations arrive en deuxième position (voir Figure 6). 4 Figure 6. Les 10 priorités informatiques les plus importantes pour 2015 Les 10 principales priorités informatiques au cours des 12 prochains mois. (Pourcentage de participants, N=601, dix réponses acceptées) Initiatives de sécurité des informations Amélioration de la sauvegarde et de la récupération des données Gestion de la croissance des données Augmentation de l'utilisation de la virtualisation de serveurs Virtualisation des postes de travail Utilisation de services d'infrastructure nuage Initiatives de conformité réglementaire Programmes de continuité de l'entreprise/reprise après sinistre Conception d'une infrastructure de «nuage privé» Amélioration des fonctions de collaboration 26 % 26 % 25 % 25 % 25 % 24 % 23 % 22 % 22 % 34 % 0 % 5 % 10 % 15 % 20 % 25 % 30 % 35 % 40 % Source : Enterprise Strategy Group, Pour renforcer davantage la disponibilité de l'infrastructure et la résilience des informations, les PME peuvent souhaiter utiliser la technologie de réplication des données afin que les données d'entreprise critiques puissent être continuellement copiées sur un autre centre de données distant géographiquement. Ceci permet d'assurer la restauration rapide des applications métier génératrices de revenus en cas de panne générale du site d'origine humaine (par exemple, un équipement de construction endommageant une liaison de télécommunication) ou en cas de catastrophe naturelle (inondation, ouragan, etc.). 4 Source : Rapport de recherche ESG, 2015 IT Spending Intentions Survey (Enquête sur les dépenses prévues en informatique en 2015), février 2014.

12 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile12 De plus, il est essentiel pour les PME d'avoir un plan de continuité de l'activité et de reprise après sinistre bien réfléchi et détaillé, avec des guides d entretien qui détaillent précisément ce qui doit être fait pour reprendre les opérations normales suite à une panne ou à une catastrophe. C'est sur ce point que les entreprises de services professionnels peuvent fournir les meilleures pratiques adéquates, ainsi que des méthodologies de protection des données et de reprise après sinistre pour assurer que les investissements informatiques de la PME dans la résilience de l'infrastructure informatique seront payants. Une infrastructure informatique évolutive à la demande Pour conserver l'agilité de l'entreprise et devancer la concurrence, les entreprises ont besoin de ressources informatiques (serveur, stockage et réseau) capables d'évoluer simplement à la demande pour répondre aux exigences actuelles et nouvelles de l'entreprise, au niveau des environnements d'infrastructure de serveurs virtualisés ou virtuels. Grâce à la virtualisation, les départements informatiques ont la possibilité de mettre en place de nouvelles applications à la demande en un minimum d'effort, à moindre coût et rapidement, en utilisant moins de ressources qu'avec une infrastructure physique traditionnelle. En faisant cela, les entreprises peuvent améliorer leur efficacité sans compromettre la performance des applications métier. Autres avantages de la virtualisation : réduction de la consommation d'espace dans les baies, réduction des coûts d'alimentation et de refroidissement, diminution du temps passé à configurer et à provisionner de nouvelles ressources d'applications de serveur. Cette infrastructure informatique flexible peut permettre aux entreprises d'être plus agiles et d'évoluer avec le temps. Mais pour atteindre le meilleur retour possible sur les investissements virtualisés, les PME ont besoin de plates-formes informatiques évolutives capables de prendre en charge des ratios informatiques application-serveur supérieurs. En d'autres termes, plus la plate-forme de serveur sous-jacente est capable de prendre en charge d'applications, plus le retour sur investissement potentiel est élevé, à la fois en termes de diminution des dépenses opérationnelles et d'investissement. Pour profiter de ces avantages, il faut notamment travailler avec des entreprises de services expérimentées qui maîtrisent l'art de l'architecture et de l'implémentation d'environnements virtualisés. La protection des données centralisée et unifiée est essentielle Comme énoncé précédemment, l'étude d'esg continue de suivre la protection des données comme principale priorité des PME. Peu importe où résident les informations (dans le centre de données, les sites distants, les périphériques utilisateur ou le nuage), il est extrêmement important que les PME disposent d'une méthode simple et centralisée pour protéger et gérer les données hautement distribuées. Lorsque les processus de sauvegarde sont complexes, ils peuvent créer des failles de protection des données et faire dépenser un temps d'administration informatique inhabituel. Ceci peut laisser les entreprises vulnérables à la perte de données, augmenter les coûts opérationnels et épuiser les ressources informatiques déjà limitées et empêcher ces dernières de se concentrer sur les activités de base de l'entreprise. Une solution de sauvegarde automatisée simple à utiliser et à la gestion centralisée peut permettre aux départements informatiques d'économiser des ressources et un temps précieux, afin de se concentrer sur des activités à valeur ajoutée. Une solution de sauvegarde automatisée peut non seulement faciliter le travail des départements informatiques, mais aussi celle des utilisateurs. Le personnel utilise aujourd'hui différents périphériques, ordinateurs portables, clients légers, tablettes et téléphones intelligents, qui ont tous besoin d'être sauvegardés régulièrement. Grâce aux solutions de sauvegarde automatique exécutées en arrière-plan, le processus est transparent pour l'utilisateur, sans impact sur la performance du périphérique ni des applications. La solution de sauvegarde idéale doit proposer les avantages suivants : Capacité à réduire les pertes de données. En réduisant les effets des pertes de données, l'entreprise ou la productivité ne sont plus ou très peu perturbées. Capacités de restauration en libre-service. En accordant aux utilisateurs la possibilité de générer leurs propres demandes de restauration de fichiers sans intervention du département informatique, vous économisez du temps et des ressources. Les employés peuvent aussi minimiser la perturbation de leur productivité. Restauration des données des employés suite à la perte ou au vol d'un périphérique. Grâce à une solution de sauvegarde adaptée, l'utilisateur peut facilement restaurer ses données en quelques heures sur un nouveau périphérique, sans formation officielle ni aide du département informatique. Redondance pour plus de protection, tout en économisant du temps et des ressources. Intégrer le nuage en tant que solution de sauvegarde efficace permet aux départements informatiques d'augmenter la

13 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile13 redondance et la protection des données sur des équipements hors site, tout en économisant le temps et le coût d'un environnement de reprise après sinistre dédié. Des services professionnels de bout en bout. Nombre d'entreprises disposent de nombreux professionnels spécialisés dans plusieurs domaines. D'autre part, les PME disposent de petits départements informatiques composés de généralistes et parfois d'un expert dans un domaine donné. Ceci signifie que le support informatique interne est généralement limité ainsi que la bande passante. Alors comment les PME peuvent-elles rester compétitives et agiles, profiter des nouvelles opportunités et protéger la sécurité des données stratégiques et opérationnelles sans un personnel dédié d'experts technologiques? Comment? Grâce à des services professionnels tiers. Des services technologiques et d'assistance aux services financiers, il est important pour les entreprises informatiques d'avoir accès à un large éventail de professionnels informatiques sur lesquels ils peuvent compter pour éduquer, former et assister leur personnel informatique. Les PME peuvent bénéficier de services professionnels pour les implémentations d'infrastructure, de support pour la direction, de formation et de services financiers. Comme énoncé précédemment, l'étude d'esg indique que de nombreuses entreprises pensent employer des professionnels manquant de certaines compétences pour protéger et faire évoluer l'entreprise. Ce manque de compétences concerne la sécurité des informations, la gestion des périphériques mobiles et les technologies de nuage privé (par exemple la virtualisation). 5 Plutôt que de se passer de l'aide d'employés expérimentés formés aux outils de sécurité modernes, les PME devraient travailler avec des professionnels hautement compétents et spécialisés en complément de leur personnel informatique interne. Les services professionnels tiers correspondent exactement aux besoins des PME. Non seulement ils peuvent montrer au personnel informatique comment implémenter et conserver efficacement leurs systèmes technologiques, mais ils peuvent aussi les aider à identifier et résoudre les problèmes système de manière continue. Les services de support tiers peuvent aider les PME sur les points suivants : Mise en place et exécution plus rapides grâce à des services de démarrage, d'installation et de déploiement. Garantie que les données stratégiques et opérationnelles sont protégées et sécurisées en utilisant la surveillance à distance et d'autres services proactifs. Résolution des problèmes matériels et logiciels rapidement et plus facilement. Ceci permet de réduire les risques de temps d'arrêt (perte de productivité, de confiance des clients, de revenus) tout en améliorant le temps de disponibilité de l'entreprise. La productivité et la satisfaction des clients, partenaires et du personnel en sont améliorées. Support sur site, que l'entreprise ait besoin d'assistance de manière continue, par projet, en fonction des besoins ou de manière personnalisée. Formation du personnel en interne pour qu'il soit à jour sur les domaines des serveurs, du stockage, de la gestion et du code source ouvert, afin d'acquérir des connaissances tout en travaillant. Programmes de financement d'investissements informatiques spécifiquement conçus pour que les PME puissent étendre leur pouvoir d'achat et développer leur activité. Fondamentalement, les services professionnels peuvent améliorer l'efficacité des PME en permettant au personnel interne de travailler plus rapidement et plus efficacement, d'améliorer leur productivité et de réduire leurs coûts. La réalité des faits Les entreprises, quelle que soit leur taille, doivent être préparées à toutes les éventualités de corruption de leurs données stratégiques et sensibles. Mais lorsque l'on parle des PME, il est important de prendre en considération un certain nombre d'éléments pour protéger l'entreprise. Un élément clé est le plan d'ensemble protégeant les données et garantissant l'exécution continue de l'entreprise à une performance optimale malgré les différentes menaces bombardant chaque jour l'organisation. Tout d'abord, les PME ont besoin d'un plan complet détaillant comment gérer les événements suivants : 5 Source : Ibid.

14 Livre blanc : Les meilleures pratiques pour la protection des données et la continuité de l'entreprise dans un monde mobile14 Mobilité des données. Avec la tendance du AVEC favorisant la productivité sur le lieu de travail, ainsi que la satisfaction des clients et des partenaires, appliquez-vous des politiques fortes pour protéger vos données stratégiques et sensibles? Sécurité proactive. Alors que nous entendons parler de pirates externes causant des failles de données énormes, les failles peuvent aussi très bien venir d'une source interne, et plus souvent que l'on ne pense. La connaissance apporte le pouvoir et les PME doivent disposer d'une solution qui les protège des menaces internes externes. Fonctionnement continu 24h/24, 7j/7. Quels systèmes doivent être mis en place afin que l'entreprise soit capable de fonctionner en continu, 24h/24, 7j/7, avec un minimum de pannes? Comment l'entreprise serat-elle protégée et surveillée, et par qui (ressources internes ou tierces, ou les deux? Évolutivité. Comment l'entreprise fera-t-elle évoluer rapidement ses infrastructures virtualisées et physiques pour répondre de manière continue à ses besoins croissants? Quels systèmes, matériels ou logiciels contribuent actuellement à l'évolutivité et quels outils/solutions supplémentaires sont requis? Protection des données de bout en bout. Comme les données peuvent résider partout, il est essentiel de savoir que vos données sont protégées, qu'elles se trouvent dans des centres de données centralisés, sur des sites distants ou sur les périphériques des utilisateurs. Une gestion opérationnelle simplifiée et un cadre de sauvegarde et de récupération commun font partie d'une solution de protection des données de bout en bout. Des services professionnels de bout en bout. Comme les PME ne disposent pas du personnel et de la bande passante nécessaires pour tout faire, elles doivent cultiver des relations clés avec des entreprises capables de leur fournir des services de conseil, de formation et de maintenance. De plus, les services financiers tiers peuvent aider les PME à bien fonctionner, à se développer et à avancer. Les solutions Just Right IT de Hewlett-Packard offrent un ensemble complet de solutions matérielles et logicielles pour les infrastructures informatiques qui peuvent être personnalisées pour répondre aux besoins des PME. En associant ces solutions à des offres de services financiers partenaires, les PME peuvent faire avancer leurs initiatives d'entreprise urgentes, telles que le AVEC et la mobilité du Web, pour développer leurs entreprises et rester compétitives sans compromettre la sécurité des données, la protection des informations ou la disponibilité des applications. Les solutions Just Right IT de HP permettent aux PME de se concentrer sur des activités génératrices de revenus plutôt que de se soucier de l'intégrité structurelle et de la sécurité de leurs environnements informatiques.

15 Document HP N 4AA5-8753FCCA 20 Asylum Street Milford, MA Tél. : Télécopie :