Trois fondamentaux de la sécurité

Il ne se passe pas un jour sans que l’informatique d’une entreprise ne soit compromise. Les vols de données continuent de faire les gros titres, soulignant les erreurs faites dans l’implémentation de la sécurité. A en lire l’inventaire, il est facile de perdre espoir tant il semble que, quoiqu’elles fassent ou combien elles investissent, les entreprises restent vulnérables. Mais tout espoir n’est pas perdu. Il existe de nombreuses tactiques pouvant être utilisées pour protéger et défendre une entreprise. De fait, de nombreuses organisations implémentent des technologies et des politiques de sécurité avec efficacité. Mais l’on n’en entend pas assez parler.

Bien que les experts en sécurité répètent depuis longtemps qu’il n’existe pas de recette miracle pour la sécurité de l’information, les entreprises continuent de chercher un moyen simple et rapide pour sécuriser rapidement leurs systèmes. Par exemple, peu après le développement des pare-feux de nouvelle génération, les organisations ont rapidement commencé à les déployer en pensant qu’ils allaient les protéger contre les menaces avancées persistantes (APT). Mais bien qu’ils constituent une couche de défense supplémentaire, ils doivent être conçus et configurés de manière appropriée. Faute de quoi, ils ne peuvent pas bloquer les attaques d’eux-mêmes.

En réalité, il n’existe pas de solution simple et rapide en matière de sécurité. La sécurité doit être bâtie correctement, ce qui implique des fondations appropriées. L’une des raisons pour lesquelles de nombreuses organisations souffrent de violations de sécurité est qu’elles ne construisent pas le noyau nécessaire à une sécurité efficace. Une entreprise peut dépenser des millions dans ses systèmes de sécurité, mais sans les technologies clés aux bons endroits, elle perdra la bataille. Dès lors, plutôt que de continuer à investir de l’argent supplémentaire dans la sécurité, les organisations doivent commencer par évaluer leurs postures de sécurité.

C’est là que vient le moment de vérité. Prenez un stylo et notez votre entreprise dans chacun de ces trois domaines : inventaire des actifs, gestion des configurations, contrôle du changement.

Pour un élément pleinement mis en œuvre, attribuez-vous un A. Pour une implémentation partielle, accordez-vous un B- ou un C+. Et si vous n’avez pas mis en place les pratiques nécessaires dans l’un de ces domaines, affectez un F. Si vous obtenez une note inférieure à B dans un seul de ces domaines, arrêtez. Et faites des domaines concernés une priorité dans votre programme de sécurité.

Pourquoi ces sujets sont-ils essentiels à la sécurité de l’entreprise ? Parce que si une organisation ne sait pas ce qui est sur son réseau, comment il est configuré, et quand et pourquoi survient un changement, elle perdra la bataille de la sécurité, quoi qu’elle fasse par ailleurs.

Si votre entreprise ne dispose pas de moyens solides pour contrôler et gérer ses actifs, et que cela ne fait pas partie de ses projets de sécurité, vous devriez ré-évaluer les projets et vous assurer de vous concentrer sur les domaines pertinents. Les trois questions qui suivent vont vous aider à vérifier si votre sécurité est alignée sur votre activité. Avant de dépenser un seul euro de votre budget, ou une heure de votre temps sur quoi que ce soit au nom de la sécurité, vous devriez toujours répondre à ces trois questions : quel est le risque ? Est-ce le risque de plus haute priorité ? Est-ce le moyen le plus économique de réduire le risque ?

Si vous ne pouvez pas répondre à ces trois questions, vous n’êtes pas concentré sur les domaines pertinents de sécurité. Ces questions sont également un excellent moyen de vérifier si vos projets de sécurité sont alignés sur les activités de votre organisation.

Prenez donc la liste de projets de sécurité et, pour chacun, tâchez de répondre à ces trois questions. Si vous y parvenez, bravo : vous administrez les fondamentaux de la sécurité de votre organisation de manière très comparable à celle des entreprises qui réussissent. Mais si vous n’y parvenez pas, attention : il y a une faille qui vous attend.

Par Eric Cole, Ph.D, expert en sécurité et directeur du cursus Cyber Defense du SANS. Adapté de l’anglais par la rédaction.