Dans le domaine de la santé, par exemple, le nombre de dossiers patient divulgués est passé de 15 millions l’année dernière à 32 millions entre janvier et juin 2019 , soit deux fois plus sur le seul premier trimestre 2019 que sur toute l’année 2018.

Sans surprise, les pirates externes à l’entreprise représentent la source de fuites de données la plus fréquente. En deuxième position : la perte accidentelle de données, que l’on peut assimiler à l’erreur humaine. En effet, les anciens collaborateurs qui ont gardé un accès aux applications SaaS de l’entreprise, les biens “sauvages”, les logiciels sans licence, les terminaux perdus ou volés sont autant de difficultés que les équipes IT et Sécurité éprouvent au quotidien.

La moitié des projets d’ITAM portés par la cybersécurité

Les équipes IT et Sécurité ont souvent du mal à identifier tous les biens IT de leur environnement. La tâche est complexe, notamment en raison du dynamisme des technologies, des fréquentes connexions et déconnexions des terminaux sur le réseau, de la mobilité, des instances Cloud, etc. Ce manque de visibilité accentue les risques de cyberexposition et de cyberattaque.

Par le passé, l’ITAM (gestion des biens IT) a principalement servi à garantir la conformité des licences. Bien que ce soit toujours l’une des motivations principales, elle est désormais tout aussi essentielle aux équipes de sécurité. Elle leur permet en effet de connaître les biens qu’elles possèdent vraiment, l’endroit où ils se trouvent, leur mode d’utilisation et les risques de sécurité potentiels qu’ils représentent. D’ailleurs, selon Gartner, 50% des projets d’ITAM auront pour principal moteur les besoins et inquiétudes en matière de sécurité des informations d’ici 2020 .

Disposez-vous d’un suivi précis de vos biens IT ?

D’après les normes ISO, vous ne pouvez réellement optimiser votre environnement que si vous commencez par le niveau 1, c’est-à-dire “connaître ce que vous possédez pour pouvoir le gérer”. Or, de nombreuses entreprises gèrent encore leurs inventaires IT sur des feuilles de calcul manuelles, et donc sujettes aux erreurs et approximations. Environ 56% des entreprises ne vérifient l’endroit où se trouvent leurs biens IT qu’une seule fois par an, et 10% à 15% ne le vérifient même que tous les 5 ans .

Par ailleurs, tous les ordinateurs de tous les bureaux du monde entier contiennent en moyenne pour 259 dollars de logiciels inutiles, non voulus ou non utilisés . Chaque licence logicielle et chaque matériel représente un risque de vulnérabilité, que vous l’utilisiez ou non. Si vous ne les utilisez pas, il faut les supprimer de votre environnement pour réduire la surface d’attaque.

Pour une bonne évaluation des vulnérabilités, vous devez disposer des bonnes données de référence. Cela signifie que vous devez savoir ce que vous possédez réellement, avant de pouvoir correctement gérer et sécuriser. En liant les systèmes de données des biens IT et de sécurité, vous pouvez obtenir cette visibilité. Cela vous permettra d’appliquer des règles et des mesures d’automatisation pour améliorer votre résilience en matière de cybersécurité, et de gagner en efficacité. L’objectif est de garantir l’optimisation des biens, le contrôle des coûts et la limitation des risques.

Pour où commencer ?

Le National Institute of Standards & Technology (NIST) a publié un guide de la cybersécurité pour l’ITAM , cosigné par le National Cyber Security Centre of Excellence. Cette publication fournit des indications sur ce que les professionnels de la sécurité peuvent attendre d’un système de gestion des biens et sur la manière dont ils doivent le configurer. Le NIST précise que « l’ITAM améliore la visibilité pour les analystes de sécurité, ce qui permet une meilleure utilisation des biens et un renforcement de la sécurité ». De plus, le NIST considère l’ITAM comme « essentiel pour une stratégie de cybersécurité efficace ».

La gouvernance de l’ITAM est un travail d’équipe. Alignez soigneusement les activités de vos équipes qui gèrent les biens IT sur celles de vos équipes Sécurité, Achats et Finances, afin de définir, mettre en place et surveiller vos processus de cycle de vie des biens et de sécurité en vue d’obtenir les meilleurs résultats. Si vos équipes multidisciplines basent leurs processus, leurs contrôles et leurs opérations sur les consignes du NIST, elles disposeront alors d’une structure commune pour travailler.