Comment rapprocher équipes sécurité et réseau ?

Les politiques, standard et procédures d’entreprise existent pour s’assurer que tous les employés adhèrent à un ensemble de règles communes, qui peuvent toucher à la gestion du changement, aux achats, à la sécurité, à la rétention des données, à la gestion de la confidentialité, à celle des configurations, aux usages acceptables des ressources de l’entreprise, ou encore aux méthodologies de développement de systèmes. Tous ces documents doivent être actualisés et formellement approuvés chaque année, et être accessibles à tous les employés.

Sans mandats validés et soutenus par l’entreprise, les changements apportés à l’environnement vont apparaître décousus ou chaotiques. Et émergeront des activités redondantes, voire conflictuelles, aux effets potentiellement désastreux : non-respect des objectifs de qualité de service, modes de protection contradictoires, ou encore outil rendus inefficaces. C’est là que les bénéfices d’une approche consolidée et cohérente des projets de sécurité et de réseau montrent toute leur valeur.

L’approche consolidée – via console unique – s’applique également aux outils communément utilisés pour apporter des changements à l’environnement IT. Ces outils devraient être intégrés aux processus de gestion du changement et inclure un système de gestion de tickets pour référence. Si des changements sont permis en dehors du processus globalement accepté, un changement peut venir en contredire un autre. Et cela peut conduire à des mises à l’index inutiles et regrettables, voire à pénaliser la capacité de l’entreprise à servir ses clients et à atteindre ses objectifs. Et c’est sans compter le risque d’introduire des vulnérabilités qu’il serait autrement possible de prévenir.

Ceci dit, les systèmes de supervision n’ont pas besoin de suivre cette approche consolidée et peuvent être spécifiques à chaque groupe. Par exemple, les systèmes de gestion des informations et des événements de sécurité (SIEM) sont centrés sur la supervision de la sécurité des hôtes de l’infrastructure, des événements anormaux, des vecteurs d’attaque, des violations de règles et des activités d’investigation. Le centre opérationnel de sécurité (SOC) utilise le SIEM pour suivre les activités guidées par un plan de réponse à incident. Tandis qu’un centre d’exploitation réseau (NOC) utilise d’autres outils sur le même réseau et les mêmes journaux d’activité pour suivre trafic réseau, temps de réponse, utilisation de bande passante, et respect des engagements de niveau de service.

En fait, rapprocher les équipes de sécurité et du réseau en consolidant certains de leurs outils permet notamment d’améliorer la gestion du changement et l’intégrité de l’environnement. Las, tous les outils n’offrent pas le périmètre fonctionnel nécessaire à la satisfaction des besoins du SOC et du NOC. Dès lors, il peut y avoir des redondances entre outils. Mais les processus et les méthodologies liés à la gestion du gestion, à celle des mises en production, et les systèmes de gestion de tickets peuvent et devraient être utilisés conjointement par les deux groupes.