Par Vincent Peulvey, Directeur Avant-Vente Europe du Sud, Moyen-Orient et Afrique d’Ivanti
La gestion des biens IT (ITAM) est étroitement liée à la sécurité du poste client. Brian Hoskins, Directeur de la gestion des services du NCIS, a déclaré lors du récent événement "IT Leadership Summit" : « Si vous savez que vous possédez une machine, vous pouvez la gérer. Si vous ne savez pas que vous la possédez, c’est elle qui vous gère. » C'est encore plus vrai lorsqu'il s'agit de sécurité. Si vous ne savez pas quels éléments vous possédez, vous ne pouvez ni les sécuriser, ni vous en protéger.
Les biens « fantômes » représentent 30% des biens informatiques fixes, ce qui signifie que 30% des biens IT possédés par l’entreprise ont en réalité été volés, sont manquants, perdus ou sont devenus d’une autre façon des biens « fantômes »[1]. Ce chiffre est énorme et pose de vraies questions en termes de sécurité. Qu'est-il arrivé à ces périphériques ? Sont-ils seulement encore dans vos locaux ? Des données ont-elles (littéralement) été sorties de l'entreprise ?
De nombreuses entreprises réalisent toujours le suivi de leurs biens IT grâce à des tableurs, des bons de commande ou des outils de découverte rudimentaires. Ce type de méthode engendre un véritable cauchemar administratif. Les biens IT sont affectés, réaffectés et déplacés d'un endroit à un autre sans réel suivi. Le plus inquiétant n’est pas tant que l’outil soit défaillant, mais que le processus soit inexistant. 56% des entreprises admettent qu'elles ne vérifient l'emplacement de leurs biens qu'une seule fois par an. Et 10% à 15% d'entre elles n'effectuent le suivi de l'emplacement de leurs biens que tous les cinq ans[2]. Il peut se passer tellement de choses en cinq ans !
40% des pertes de données ou des périodes d’interruption des systèmes dans l’entreprise sont dues à des pannes matérielles[3]. Si vous savez ce que vous possédez et que vous gérez vos biens proactivement, vous pouvez appliquer des correctifs à vos systèmes et les intégrer à vos processus de sécurité pour prévenir les attaques. Mais, encore une fois, vous ne pouvez pas protéger ce dont vous n’avez pas connaissance.
En faisant de l'ITAM un processus central de vos efforts de sécurité du poste client, vous pouvez découvrir et inventorier tout le matériel et tous les logiciels de votre entreprise ; détecter les nouveaux périphériques introduits ; et connaître les systèmes d'exploitation exécutés sur vos machines, leurs exigences en matière de sécurité et les applications qui y sont installées. C'est à ces conditions seulement que vous pourrez gérer réellement les failles de sécurité, et faire des rapports sur toutes les activités suspectes ou ne respectant pas la stratégie de sécurité.
Il n’est pas possible de gérer ses biens IT sur un simple tableur. Gartner annonçait, lors d’une récente conférence[4], que moins de 10% des nouveaux périphériques qui se connecteront aux réseaux d'entreprise seront gérés par des méthodes traditionnelles d'ici à 2020.
Les entreprises trouvent très souvent bien plus d'avantages aux solutions d'ITAM automatisées qu'elles ne l'auraient pensé. Lors de cette même conférence, Gartner a révélé les résultats d’une étude qui montre qu’avec une solution d’ITAM automatisée, les entreprises interrogées ont découvert 60% de machines en plus que ce qu’elles prévoyaient. Il peut s'agir de matériel autorisé, que vous avez acheté mais qui s’est avéré inutile, mais aussi de périphériques non autorisés qui représentent un risque important pour la sécurité. Les outils d'ITAM et de sécurité du poste client doivent s'associer pour connaître le matériel et les logiciels non autorisés qui tentent de se connecter, et empêcher les logiciels non autorisés de s'exécuter.
Vous devez gérer efficacement vos biens tout au long de leur cycle de vie. Vous devez savoir ce qu'il advient de vos machines, les logiciels qu'elles exécutent, les opérations réalisées et les utilisateurs qui les détiennent. C'est important pour les appareils fournis par l’entreprise, mais encore plus pour le BYOD (Bring Your Own Device) et les objets connectés apportés dans votre entreprise.
Fin de contrat : 50 % des anciens collaborateurs gardent un accès aux applications de l'entreprise [5]
Quand ils arrivent dans l’entreprise, les nouveaux collaborateurs ont besoin du matériel et des logiciels appropriés pour bien travailler. Mais lorsque ces collaborateurs s’en vont, de nombreuses entreprises ne réalisent pas combien il est important de désactiver les accès et d’effectuer une mise au rebus correcte de leur matériel.
Lors de la mise au rebut des biens matériels, vous devez prendre des précautions pour éviter les failles de sécurité qui provoquent des pertes de données confidentielles. Cela représente non seulement des risques élevés pour la sécurité des entreprises, mais également des coûts importants si d'anciens collaborateurs emportent avec eux du matériel... et les logiciels qui s'y trouvent. La perte d’un ordinateur portable peut revenir cher, mais ce n’est pas le pire. Les fuites de données, les pertes de productivité et les amendes pour non-conformité peuvent coûter bien plus.
Il existe bien d’autres raisons qui justifient de relier et d’aligner soigneusement la gestion des biens IT et la sécurité du poste client. Cependant, une meilleure visibilité sur vos possessions est un bon début.
[1] "Data Validation the Best Practice for Data Quality in Fixed Asset Management", Asset Management Resources
[2] Navigating through the complexities of the fixed asset management function, EY
[3] Global data protection index, Dell EMC
[4] Conférence "Discovery, Security, Management and Disposal: The Lifecycle of Hardware Assets in the Enterprise", Gartner IT Sourcing, Procurement, Vendor & Asset Management Summit 2018
[5] Curse of the Ex-Employees, OneLogin/Arlington Research