Comment construire un plan de cybersécurité pour son entreprise

Les objectifs du plan de cybersécurité

Pour atteindre un objectif quel qu’il soit, il est essentiel d'élaborer un plan d'orientation. La cybersécurité n'est pas différente de tout autre effort à cet égard. Dans ce contexte, la préparation à la cybersécurité est le but et un plan de cybersécurité est le premier de plusieurs objectifs.

Un plan de cybersécurité devrait décrire clairement ce qu'une organisation veut atteindre par rapport à la cybersécurité. Lorsque l’on se penche sur les types de problèmes informatiques et de sécurité réseau qui sont signalés chaque jour, certains éléments de planification de la sécurité apparaissent évidents. Voici des exemples d'objectifs de planification de la cybersécurité qui appuient la préparation à la cybersécurité :

1. Protéger la propriété intellectuelle, qui concentre la valeur et la force de différenciation de l’entreprise sur le marché, contre le vol par des acteurs malveillants internes ou externes à l’entreprise.
2. Protéger les informations personnelles des clients et des employés, ainsi que les informations régulées, contre le vol par des acteurs malveillants internes ou externes à l’entreprise.
3. Être capable de voir et de comprendre le contexte de sécurité de chaque paquet entrant et sortant du réseau d'entreprise. Être capable de surveiller et de comprendre quelles informations circulent, sortent du réseau et y transitent, et de savoir si ce flux d'information est souhaité ou indésirable, et approprié ou inapproprié.
4. Disposer d’un système de messagerie électronique offrant un niveau élevé de confidentialité, même en cas de vol de messages.

Sélectionner des objectifs

Chacun de ces quatre objectifs du plan d'action pour la cybersécurité pourrait et devrait être traité comme un projet avec un calendrier, des jalons, des mesures et des indicateurs. Les premier et deuxième objectifs partageront vraisemblablement plusieurs des mêmes contrôles et pratiques de sécurité. Le troisième objectif sera discuté en profondeur dans un prochain qui traite de l'architecture de sécurité et de la surveillance du réseau.

Dans cet article, la réalisation d'un système de courrier électronique confidentiel est développé comme un exemple d'un objectif pour un plan de cybersécurité. Il comprend l'identification de certains obstacles et des exemples d’indicateurs qui peuvent être utilisés pour mesurer les progrès accomplis dans la réalisation de l'objectif.

Messagerie confidentielle

L'objectif de la messagerie électronique confidentielle est réalisable grâce à l'utilisation du chiffrement des e-mails. Cette technologie existe depuis des décennies. Pourquoi alors, des emails volés de grandes sociétés, d'organismes gouvernementaux et de partis politiques sont-ils régulièrement divulgués sur WikiLeaks et sur des sites similaires ?

Le chiffrement, en particulier la cryptographie des infrastructures à clés publiques (PKI), n'est pas bien compris par les administrateurs systèmes. Il peut être difficile à mettre en œuvre correctement. Un effort d’administration très élevé peut être à fournir, et l’ensemble peut s’avérer coûteux. Si un système de chiffrement est mal géré, de grandes quantités d'informations peuvent être perdues. Ce sont là quelques-unes des raisons qui militent contre son utilisation. 

Une préoccupation particulière de la PKI est que si tout les personnes qui ont besoin de recevoir des emails chiffrés ne disposent pas de leur propre paire de clés, elles ne peuvent pas participer à des conversations sécurisées par courrier électronique. Pour les grandes organisations où la majorité du courrier électronique est échangée entre membres de l'organisation, ainsi que dans les organismes gouvernementaux, militaires et de renseignement, les coûts associés à la PKI peuvent en valoir la peine. Pour ces organisations, l'avantage de chiffrer automatiquement, déchiffrer et stocker en toute sécurité chaque message électronique est un avantage.

Il existe d'autres outils disponibles, moins coûteux et plus faciles à administrer, surtout si ce ne sont pas tous les messages qui doivent être chiffrés. Ces autres options sont essentiellement des services de messagerie Web où le destinataire d'un message crypté peut avoir besoin de se connecter à un portail de messagerie sécurisé pour lire le courrier électronique chiffré qui lui a été adressé. Les destinataires peuvent avoir besoin de s'inscrire sur ce portail et de configurer les informations d’authentification, mais aucune paire de clés de PKI n'est requise. Les problèmes liés au courrier électronique sécurisé incluent le fait de garantir que le courrier est chiffré au repos sur le serveur et non pas seulement dans le transport, que le fournisseur de messagerie chiffrée déchiffre ou non votre courrier électronique. Mais il faut aussi compter avec la complexité à introduire dans l’organisation un nouveau système de messagerie électronique que les utilisateurs devront adopter. Et qui les conduira à choisir quoi chiffrer et quoi ne pas chiffrer…

Il existe des systèmes de passerelle de courrier électronique qui peuvent analyser du courrier électronique non chiffré avant l'envoi, rechercher des mots clés et des motifs spécifiques - tels que des numéros de sécurité sociale et des informations de carte de crédit - et envoyer des courriels alors identifiés comme sensibles à un système de messagerie sécurisé. Ce système a l'avantage de fonctionner avec n'importe quel système de messagerie électronique. Mais il induit une surcharge administrative liée à la création des règles de filtrage de contenu. Dans ce système, seuls les e-mails identifiés par les filtres de contenu seront sécurisés et rien ne garantit que chaque e-mail qui doit être sécurisé le sera bien.

Il existe également des systèmes de chiffrement de courrier électronique plus simples utilisant des extensions de messagerie électronique et des clés de secret partagées symétriques, où la même clé est utilisée pour le chiffrement et le déchiffrement. Là encore, l'utilisateur doit décider quels messages électroniques doivent être chiffrés et il y a également le problème d'échange et de gestion de la clé secrète partagée. Dans le passé, l'échange de clés secrètes était l'un des problèmes que la cryptographie à clé publique devait résoudre. De nos jours, il peut être tout aussi facile de partager une clé secrète par SMS ou tout autre méthode utilisant un canal de communication secondaire.

Mesures et indicateurs

Une fois qu'un plan de sécurité approprié est établi pour le courrier électronique, une façon d’évaluer l'efficacité du produit ou du service utilisé doit être déterminée. De toute évidence, cela ne pas se faire sur la base de la quantité d'informations non perdues grâce au système de sécurité retenu. Mais il existe des moyens simples de montrer les progrès par rapport à l'objectif de confidentialité du courrier électronique.

Un indicateur simple peut être par exemple le volume total des courriels envoyés par jour, semaine ou mois. Un indicateur montrant les progrès accomplis dans la réalisation de l'objectif de cybersécurité montrerait la quantité de courrier électronique envoyé crypté, en pourcentage de tous les courriers électroniques envoyés.