Quatre questions de cyber-sécurité auxquelles tout RSSI devrait pouvoir répondre
Dans la première partie de notre série de six blogs sur l’amélioration de votre stratégie de cyber-sécurité, nous décrivons comment l'approche hyper-compartimentée plébiscitée par le secteur a dégradé la sécurité de tout le monde et nous partageons les quatre questions clés auxquelles chaque RSSI devrait pouvoir répondre.
L’infrastructure IT grandit souvent au rythme de l'entreprise. Les nouveaux outils, applications, systèmes et profils d'utilisateur sont ajoutés à l'ensemble à mesure que le besoin s'en fait sentir, généralement sans que l'on y accorde une grande importance stratégique. Des silos organisationnels apparaissent autour de ces ajouts lorsque les équipes découvrent que le déploiement et la maintenance de chaque nouvel outil nécessitent de nouvelles compétences. En peu de temps, l'ensemble de l'opération peut ressembler à une vieille maison délabrée à laquelle chaque génération de propriétaires a ajouté une nouvelle pièce.
Les menaces se cachent dans les recoins obscurs. Les vulnérabilités imprévues, les technologies vieillissantes, les datacenters distribués, la prolifération sur le réseau, les collaborateurs malintentionnés en interne et les utilisateurs crédules prospèrent. Les composants de l'infrastructure IT de l'entreprise étant dispersés et cloisonnés, il est difficile pour une personne ou une équipe d'obtenir une visibilité globale de l'ensemble du réseau.
Parcourez notre série d'articles sur la Cyber Exposure (certains articles sont uniquement en anglais) :
Quatre questions de cyber-sécurité auxquelles tout RSSI devrait pouvoir répondre
3 conseils pour identifier l'exposition au cyber-risque dans votre entreprise
5 conseils pour prioriser les vulnérabilités en fonction du risque
Métriques et maturité : analyse comparative de votre Cyber Exposure au fil du temps
Où se situent vos pratiques de Cyber Exposure par rapport à celles de vos pairs ?
Cyber Exposure : adopter une approche globale de la gestion des vulnérabilités
Le manque de visibilité rend difficile l'identification de ces vecteurs de menaces cloisonnés, et encore plus difficile d'y faire face une fois découverts. En effet, dans la plupart des cas, les outils et les tactiques disponibles sont conçus pour s'attaquer à des domaines de préoccupation spécifiques et non intégrés. Nous constatons régulièrement que les outils de sécurité sont éparpillés sur l'ensemble de l'entreprise. Nous voyons des équipes dédiées aux opérations, à la sécurité applicative, au DevOps, à la sécurité réseau, à l'apprentissage automatique, au calcul hautes performances, au SOC (Security Operations Center), à l'audit et à la conformité rechercher et déployer leurs propres outils. Et les outils de sécurité ne manquent pas. Plus de 600 fournisseurs étaient présents lors de l'édition 2018 de la Conférence RSA.
Ces problèmes n'ont rien de nouveau, mais il n'a jamais été aussi urgent de les résoudre face à une surface d'attaque en constante expansion. Les professionnels de l'IT et de la cyber-sécurité nous font souvent écho des difficultés liées à la protection de toutes les applications isolées, ainsi que des plateformes de calcul et de stockage distribuées, utilisées aux quatre coins de l'entreprise. Les appareils OT (technologies opérationnelles) et IoT (Internet des objets) apportent leur propre lot de problèmes, étant donné que le déploiement de ces solutions connectées à Internet se fait souvent sans la supervision du service IT.
Dans la plupart des cas, les entreprises finissent par intégrer des applications par le biais d'API et par placer une multitude de clouds sous la responsabilité d'une seule plateforme de gestion afin de gérer tout en même temps. Mais même cette approche ne constitue qu'une solution provisoire. Elle ne remplace pas une stratégie globale de cyber-sécurité qui met l'accent sur la visibilité dans l'ensemble du réseau et applique des informations exploitables granulaires sur les menaces qui peuvent rôder, afin que les entreprises puissent efficacement prioriser leur réponse. Nous appelons cette approche la Cyber Exposure.
La Cyber Exposure est une discipline émergente pour gérer et mesurer le risque de cyber-sécurité à l'ère du digital. La Cyber Exposure fait passer la sécurité d'une visibilité statique et compartimentée à une visibilité dynamique et globale, portant sur toute la surface d'attaque moderne. Elle constitue la base d'une stratégie de cyber-sécurité prenant en compte l'ensemble de la surface d'attaque moderne.
Quatre questions auxquelles tout RSSI devrait pouvoir répondre
L'élaboration d'une stratégie de cyber-sécurité globale utilisant la Cyber Exposure vous permet de répondre à tout moment, pour votre entreprise, à chacune de ces quatre questions :
- Dans quelle mesure sommes-nous en sécurité ou exposés ? Cette question demande d'avoir une visibilité sur tous les aspects de la surface d'attaque de l'entreprise, y compris les ressources cloud, les conteneurs, les systèmes de contrôle industriels et les appareils mobiles, qui peuvent parfois échapper au contrôle du service IT. Pour ce faire, il faut dresser l'inventaire des éléments qui sont la cible de menaces dans votre entreprise. Par exemple, si votre entreprise déploie systématiquement les correctifs, la dernière vulnérabilité Windows ne vous inquiétera pas autant qu'une société qui n'a pas corrigé ses systèmes depuis 7 ans. En identifiant les zones où l'entreprise est exposée ou pourrait être exposée, vous obtenez une vue d'ensemble des risques encourus.
- Où devons-nous concentrer nos efforts ? Les réponses à cette question doivent être fondées sur une combinaison entre threat intelligence, pour comprendre l'exploitabilité du problème, et criticité de l'asset, pour comprendre le contexte métier de l'asset. Une priorisation efficace des vulnérabilités doit tenir compte du contexte métier afin d'optimiser vos efforts, vos ressources et votre budget. Elle vous permet de vous concentrer sur la protection des zones vulnérables susceptibles de coûter le plus cher à votre entreprise en termes de ressources humaines, de sanctions, de temps perdu, de reprise après sinistre et de réputation. Elle contribue également à réduire la lassitude liée aux alertes, car vous pouvez alors prioriser la façon dont votre équipe réagit aux vulnérabilités en fonction de l'importance des assets touchés pour votre entreprise et de la probabilité qu'une vulnérabilité donnée soit exploitée.
- Comment réduire notre exposition dans le temps ? Votre capacité à répondre à cette question constitue une bonne indication de votre stade de maturité. Vous devrez identifier les mesures et KPI qui vous permettront de quantifier vos efforts. Ces mesures doivent pouvoir être visualisées par unité métier, par région géographique et par type d'asset. L'objectif est de comprendre comment votre profil d'exposition évolue d'un mois à l'autre, d'un trimestre à l'autre et d'une année à l'autre, afin que vous puissiez aider vos collègues et l'équipe dirigeante à comprendre si les investissements en cyber-sécurité de l'entreprise portent leurs fruits.
- Comment nous comparons-nous à nos pairs ? Répondre à cette question vous force à sortir de la bulle interne de votre entreprise pour vous aider à voir où se situent vos pratiques de cyber-sécurité par rapport à celle des autres sociétés de votre domaine, ainsi qu'à celle des autres secteurs. Le classement de votre entreprise par rapport à ses pairs et par rapport aux meilleures pratiques de sécurité de sa catégorie permet d'amorcer un dialogue important qui doit revenir à chaque conseil d'administration. Cela permet d'arriver à un niveau de discussion plus stratégique et de s’assurer que le conseil s’acquitte de ses responsabilités en supervisant correctement les risques pour l'entreprise. Les cyber-risques ne sont pas différents des autres risques pour l'entreprise et doivent être gérés et mesurés de la même manière.
Votre capacité à répondre avec précision à ces quatre questions est essentielle pour comprendre l'ensemble de votre exposition au risque et l'efficacité de vos mesures de cyber-sécurité. Mais si vous avez affaire à une infrastructure IT hyper-compartimentée, il peut être difficile de savoir par où commencer pour passer à une stratégie plus holistique.
Trois pratiques de cyber-sécurité que vous pouvez mettre en œuvre dès aujourd'hui
Voici trois conseils que vous pouvez appliquer dès aujourd’hui pour vous aider à démarrer votre transition vers une stratégie globale de cyber-sécurité.
- Du phishing aux poissons, traquez les vulnérabilités plus profondément et plus largement. La prochaine attaque proviendra probablement d'une source inconnue et inattendue. Le tristement célèbre piratage de l'aquarium d’un casino, où des cybercriminels ont récupéré 10 Go de données d’un casino via les capteurs connectés à Internet de son aquarium, en est un parfait exemple. En effet, étant donné le nombre croissant d'appareils IoT et les brèches qu'ils offrent aux personnes malintentionnées, les équipes de sécurité devront continuellement mettre à jour leur liste de vulnérabilités. Mais les appareils IoT ne sont pas les seuls recoins à examiner et à protéger contre les menaces. N’oubliez pas les services et environnements cloud, les conteneurs, les dispositifs de vidéosurveillance, les appareils de contrôle industriels, les équipements de point de vente, les systèmes HVAC et tout autre système connecté à Internet qui n'est généralement pas géré par les équipes IT/SecOps. Par exemple, en septembre, des chercheurs de Tenable ont fait part de leur découverte de la vulnérabilité Peekaboo, qui pourrait toucher des centaines de milliers de caméras connectées à Internet et utilisées dans les systèmes de vidéosurveillance. Assurez-vous que vos équipes de sécurité scrutent les moindres failles et sont armées d'outils conçus pour détecter les vulnérabilités dès qu'elles apparaissent dans de nouveaux endroits.
- Tous vos assets ne sont pas conçus de la même manière. Il est impératif de savoir lesquels sont les plus critiques pour votre entreprise afin de répondre de manière appropriée et rapide aux menaces. Un iPad utilisé par le directeur financier de votre entreprise peut être une cible de plus grande valeur que l'iPad utilisé à la réception pour enregistrer les visiteurs. Assurez-vous de vous concentrer d'abord sur les assets les plus critiques. Prenez le temps de déterminer dès maintenant la criticité de chaque asset et de classer son importance en termes de temps de réponse. Ensuite, mettez ces informations à jour régulièrement. Le marquage des assets est un bon point de départ pour commencer à dresser un inventaire des assets en fonction de leur criticité. N’oubliez pas d'inclure les obligations de conformité, telles que le RGPD, la loi HIPAA et la norme PCI, dans votre évaluation de la criticité des assets.
- La priorisation de la remédiation. Seul un faible pourcentage des milliers de vulnérabilités divulguées chaque année est réellement exploité. Vous devez savoir lesquelles sont actuellement réellement exploitées, et être proactivement averti de celles qui risquent d'être attaquées dans un avenir proche. L'accès à ce type d'information permet aux équipes de sécurité de prioriser leurs réponses en fonction de la criticité des assets, de la threat intelligence et d'analyses de probabilité.
Pour en savoir plus
Parcourez notre série d'articles sur la Cyber Exposure (certains articles sont uniquement en anglais) :
- Quatre questions de cyber-sécurité auxquelles tout RSSI devrait pouvoir répondre
- 3 conseils pour identifier l'exposition au cyber-risque dans votre entreprise
- 5 conseils pour prioriser les vulnérabilités en fonction du risque
- Métriques et maturité : analyse comparative de votre Cyber Exposure au fil du temps
- Où se situent vos pratiques de Cyber Exposure par rapport à celles de vos pairs ?