Comment mesurer l'efficacité de votre programme de cyber-sécurité : 5 questions à se poser

Lorsqu'il s'agit de mesurer l'efficacité de vos efforts en matière de sécurité, une comparaison avec d'autres professionnels du secteur peut vous indiquer où des améliorations ou des investissements clés sont nécessaires. 

Il n'a jamais été facile de mettre en place une cyber-sécurité réussie : si vous adoptez une approche défensive et qu'aucun désagrément ne se produit, est-ce parce que vous êtes intelligent ou parce que vous avez de la chance ? Obtenir une nouvelle perspective sur l'efficacité de votre entreprise est une étape essentielle pour améliorer votre cyber-hygiène. 

Alors que les nouveaux exploits ou les attaques Zero-Day sont médiatisés, les causes profondes les plus courantes des failles sont familières et prévisibles. Selon la Rétrospective du paysage des menaces de 2020 de Tenable Research, on trouve :

• D'anciennes vulnérabilités non corrigées

• Des processus médiocres pour l'administration et la configuration
• Un suivi des assets insuffisant


Il faut comprendre votre processus de gestion des vulnérabilités pour évaluer le cyber-risque

Scanner votre environnement et traiter les risques inacceptables en recourant à la priorisation sont les deux piliers indissociables de tout programme de sécurité efficace. Souvent pourtant, les entreprises ne connaissent pas suffisamment ces processus. Les deux mesures suivantes sont cruciales :

• Assessment Maturity : cette métrique vous renseigne sur vos processus de scan, ce qui vous permet de vous assurer que votre équipe dispose d'un aperçu complet et précis de votre surface d'attaque en constante évolution

• Remediation Maturity : Cette métrique vous permet d'évaluer à quel point vous êtes ponctuel et proactif dans la mitigation des risques critiques


Les analyses comparatives déterminent où prévoir des investissements clés

À elles seules, ces métriques concernant le processus de gestion des vulnérabilités ne vous dévoilent pas tout ce que vous devez savoir. Vous avez besoin d'une certaine perspective pour comprendre où elles se situent dans le contexte d'une comparaison de votre groupe. Peu importe votre secteur d'activité, vous ne voulez pas être en bas de l'échelle. Mais sans analyse comparative, il est difficile de savoir si vous vous en sortez vraiment bien.

Lorsque vous réfléchissez aux principes fondamentaux de votre cyber-hygiène (évaluation et remédiation), vous devez savoir : 

1. Comment est-ce que je m'en sors ?

2. Quels sont nos résultats par rapport aux autres entreprises ?
3. Quelles actions en particulier dois-je effectuer pour améliorer la situation ? 


Les réponses à ces questions vous aideront à établir un budget et à allouer des ressources en vous permettant de comprendre et de communiquer sur vos actions dans les unités métier internes, ainsi qu'à vous comparer par rapport à vos concurrents. Imaginez qu'un professeur note votre position sur une courbe et vous dise exactement quoi faire pour obtenir un « 20/20 » en classe.

Cinq questions pour évaluer la maturité de votre programme de sécurité

1. À quelle fréquence scannez-vous la majorité de vos assets ?


C'est là que commence le chemin vers la maturité. Pour répondre précisément à cette question, vous devez d'abord déterminer quelles sont vos ressources en interne, ce que vous pouvez raisonnablement accomplir et quelles métriques critiques vous pouvez satisfaire.


• 
Si vous effectuez déjà des scans, vous pouvez vous poser des questions supplémentaires, comme : 
• Quelle proportion de votre environnement scannez-vous régulièrement ?

• Combien de temps environ y a-t-il entre les scans ?

• Ces valeurs changent-elles d'une unité métier ou d'un secteur géographique à l'autre ? 

• Y a-t-il une répartition en fonction de la criticité de l'asset pour votre entreprise, du type d'asset, de la géolocalisation de l'asset ou d'autres facteurs ? 

• Quelles sont les exigences au niveau de l'accord SLA pour chacune de ces catégories ? 



Plus le cycle de scan (durée entre les scans) est long, plus longtemps les vulnérabilités restent non identifiées et non corrigées. Vous devez non seulement quantifier les risques, mais aussi les identifier rapidement. Pour vous donner une idée, une entreprise moyenne scanne ses assets environ tous les quatre jours, selon Tenable Research.

2. Quel pourcentage de vulnérabilités ouvertes détectez-vous ?



L'authentification permet de faire un premier tri. Vous ne pouvez pas quantifier ce que vous ne pouvez pas voir. Lorsque la réduction des risques est votre objectif, il est essentiel d'effectuer des authentifications dès que possible. En fin de compte, obtenir une évaluation aussi approfondie et large que possible d'un asset est une étape fondamentale pour savoir où se trouvent les risques, quels assets et quelles fonctions métier sont touchés et quoi faire pour y remédier et réduire le risque. Sans connaître leur portée, leur criticité, leur impact et les exigences de travail, il n'y a tout simplement aucun moyen de gérer efficacement les risques et d'évoluer vers un programme plus mature qui pourra correctement traiter et réduire les risques à l'avenir. Tenable Research montre que les scans authentifiés détectent en moyenne 45 fois plus de vulnérabilités par asset que les scans non authentifiés ; pourtant, près de 60 % des assets de l'entreprise sont scannés sans informations d'authentification locales, ce qui génère des faux négatifs. 


3. Corrigez-vous les vulnérabilités à haut risque suffisamment rapidement ?


Selon le rapport de Tenable sur les vulnérabilités 2021, 18 358 nouvelles vulnérabilités ont été identifiées en 2020. Mais seulement 5,2 % présentaient un exploit accessible au public. Vous devez d'abord corriger ce qui est le plus important. Pour réduire les risques de la manière la plus efficace, vous devez comprendre à quelle vitesse vous corrigez les vulnérabilités que vous avez identifiées comme étant à haut risque sur les assets qui sont d'une importance capitale ou critique pour vos fonctions métier. Comprendre la nature de la menace posée par une vulnérabilité implique d'obtenir des informations sur les caractéristiques de la vulnérabilité qui la rendent attrayante pour les attaquants, ainsi que de la threat intelligence avec des renseignements sur l'activité en environnement réel autour de cette vulnérabilité particulière. Vous ne pouvez pas vous permettre de gaspiller des ressources précieuses sur des vulnérabilités qui représentent peu ou pas de menace.

4 Quel pourcentage de vos assets est protégé au niveau des terminaux ?


La sécurité des terminaux est une couche de défense nécessaire parmi tant d'autres.  Vous devez savoir si dans vos systèmes les programmes de sécurité nécessaires ont été installés et vous devez connaître tout logiciel non autorisé ou potentiellement dangereux installé sur ces assets. Mais tout ne se résume pas aux malwares. Cela pourrait par exemple impliquer des violations de politique telles que l'ouverture de telnet lorsque telnet ne doit pas être disponible sur un système d'entreprise. Si vous ne vous posez pas cette question, le risque est simplement que vous ne savez peut-être pas si des contrôles sont en place partout où vous vous y attendez. Ce problème est malheureusement bien trop courant. Seuls 44 % des responsables d'InfoSec déclarent que leur entreprise a une bonne visibilité sur la sécurité de leurs assets les plus critiques, selon une étude menée par Forrester Consulting pour Tenable.


5. Réduisez-vous le cyber-risque dans toutes les fonctions clés de l'entreprise ?


L'étude de Forrester a également révélé que seuls quatre responsables de la sécurité sur dix peuvent répondre de manière très confiante à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». C'est une question simple, mais à laquelle il peut être extrêmement difficile de répondre sans les bons renseignements et les bonnes métriques. 
Au niveau de la direction, comprendre si le risque est réduit dans toutes les fonctions métier (équipes, géolocalisations, types d'assets, etc.) s'aligne sur les objectifs de l'entreprise dans son ensemble et démontre la valeur et le retour sur investissement du budget alloué au programme de sécurité. À un niveau stratégique, répondre à cette question aide les dirigeants au quotidien à prendre de meilleures décisions sur les endroits où le programme fonctionne le mieux (et donc, comment le reproduire dans d'autres domaines) et où il ne fonctionne pas aussi bien. Au niveau tactique, les responsables de la remédiation et des correctifs doivent comprendre comment leurs efforts permettent d'avancer dans la bonne direction pour leur fonction métier particulière, mais également comment leurs efforts sont communiqués tout au long de la chaîne jusqu'à la direction. 

Sans réponses précises à ces questions, vous ne saurez peut-être pas si vous réduisez réellement les risques ou non. De plus, vous pouvez passer à côté de certaines parties de l'entreprise qui ont du mal à réduire les risques ou qui mettent le reste de l'entreprise en danger à cause de leurs difficultés. 

Améliorez votre programme de sécurité pour réduire votre Cyber Exposure

En répondant honnêtement à ces cinq questions, vous pouvez assurer le succès de votre programme et disposer d'une base de référence avec des métriques pour les renseignements sur la sécurité, le cyber-risque et l'intégrité des processus, ce qui vous permettra de mesurer l'amélioration au fil du temps. Ensuite, en comparant vos métriques entre les équipes internes et par rapport à d'autres entreprises du secteur, vous pouvez identifier où des améliorations clés sont nécessaires. Par exemple, votre service comptable peut avoir une couverture de scans authentifiés inadéquate, ou bien votre programme global peut ne pas résoudre les problèmes critiques assez rapidement par rapport au secteur.


Peu importe où en est votre programme sur l'échelle de la maturité, Tenable peut vous aider en effectuant un suivi automatique de ces métriques clés et en mettant en évidence les manques, là où des investissements supplémentaires pourraient avoir le plus d'impact sur la réduction des risques. Une fois que vous disposez de cette vue d'ensemble, vous pouvez commencer à prioriser vos efforts et à passer à l'offensive en vous attaquant activement aux vulnérabilités les plus évidentes que les attaquants sont le plus susceptibles d'exploiter. 

En savoir plus

• Consulter l'infographie : Cinq questions pour évaluer la maturité de votre programme de sécurité
• Lisez le livre blanc : Déterminer les risques connus et inconnus : les calculs derrière le score de Cyber Exposure
• Regardez les vidéos : Mesurez l'efficacité de votre programme avec Tenable Lumin
• Découvrez en quoi Tenable peut vous aider : Demander une démo