Cybersécurité : les principales bonnes pratiques et les défis qui vont avec

La cybersécurité, terme général qui décrit toutes les activités de sécurité numérique, et la sécurité de l'information, un sous-ensemble qui se concentre sur la protection des données sensibles des entreprises, ne sont pas des activités réservées aux professionnels de la sécurité.

Les organisations dans leur ensemble – dirigeants, employés, partenaires, ou encore clients – doivent suivre les meilleures pratiques actuelles en matière de sécurité de l'information. Les entreprises les plus sûres font porter la responsabilité à l'ensemble de l'organisation, relève Joseph MacMillan, auteur de Infosec Strategies and Best Practices et ceinture noire mondiale de cybersécurité chez Microsoft. La mise en œuvre de solides pratiques de sécurité de l’information coûte de l'argent, du temps et des efforts, mais elle peut sauver une organisation de la ruine.

Joseph MacMillan évoque ici ses meilleures pratiques en matière de sécurité de l’information, ainsi que l'importance des contrôles de cybersécurité, de la gestion des risques et de l'amélioration continue. Il évoque également l'évolution de l'industrie de la sécurité informatique au cours des dernières années.

Note de la rédaction : cette transcription a été modifiée pour des raisons de longueur et de clarté.

Quelles sont les meilleures pratiques, en matière de sécurité de l’information, qui vous semblent les plus importantes ?

Joseph MacMillan : Tout d'abord, les organisations doivent comprendre les risques associés à un actif. Y a-t-il plusieurs risques ? Quel est le niveau de risque ? Que signifie ce niveau de risque pour votre organisation ?

Ensuite, vous devez réduire le niveau de risque. Ajoutez la défense en profondeur, qui est une approche par couches de l'application de contrôles. Si un contrôle échoue, d'autres contrôles permettront d'atténuer le risque. Dans mon livre, j'évoque sans cesse la défense en profondeur et le risque.

Enfin, la complexité est l'ennemi de la sécurité. Il est important de rester simple. Si vous disposez d'une solution simple – et efficace – cela contribuera à réduire les risques.

Quelles sont les meilleures pratiques les plus difficiles à mettre en œuvre pour les professionnels de l'informatique ?

Joseph MacMillan : La sécurité informatique peut être un domaine stressant – son potentiel de pertes est extraordinaire. Dans certaines situations, vous pouvez être confronté à la fin ou à la dissolution potentielle d'une entreprise.

Dans certaines entreprises, la responsabilité et la pression de la cybersécurité peuvent reposer sur les épaules d'une seule personne. Dans les grandes entreprises, chacun assume la responsabilité de la protection de l'organisation. Si vous n'y parvenez pas, vous risquez de perdre beaucoup.

Dans l'ensemble, les professionnels de la sécurité de l’information ne doivent pas être trop durs envers eux-mêmes s'ils commettent une erreur, mais il est important d'essayer de bien faire les choses. Faites des recherches, pratiquez, apprenez et éduquez-vous. Faites des erreurs dans des environnements de test plutôt que dans des environnements réels, et n'oubliez pas de garder les choses simples.

Comment la cybersécurité et la sécurité de l'information ont-elles évolué au fil du temps ?

Joseph MacMillan : Les menaces informatiques sont passées d'un type dans un sous-sol portant un sweat à capuche et piratant une entreprise pour le plaisir à une affaire sérieuse. Nous avons vu des attaques et des groupes plus sophistiqués, jusqu'au niveau des États. Des groupes de pirates internationaux ont également frappé certaines industries, comme le pétrole et le gaz.

Dans le même temps, la technologie de la cybersécurité s'améliore. Les professionnels de l'informatique et les pirates informatiques sont de plus en plus intelligents – c'est devenu une course aux armements entre les deux camps.

Dans le second chapitre de votre livre, l'introduction aux contrôles de sécurité, vous avez écrit : « cette section porte sur la mise en œuvre des contrôles de sécurité de l'information appropriés pour les actifs. J'ai réfléchi à cette section pendant un certain temps, en essayant de comprendre comment l'aborder au mieux pour vous ». Les contrôles sont-ils un aspect difficile de l'infosécurité ?

Joseph MacMillan : Il y a tellement de façons d'appliquer les contrôles en fonction de vos actifs. Lorsque vous commencez à prendre en compte les différentes variables de la sécurité de l'information représentées par la triade confidentialité, intégrité et disponibilité, cela rend le choix du bon contrôle complexe. Dans le livre, j'aide mes lecteurs à comprendre que le choix d'un contrôle doit apporter la tranquillité d'esprit. Si vous suivez une approche basée sur le risque, il s’agit de réduire le niveau de risque pour la chose spécifique que vous voulez atténuer.

Comment simplifier le processus de choix et de mise en œuvre des contrôles ?

Joseph MacMillan : Suivre une approche basée sur le risque est utile. C'est pourquoi le premier chapitre du livre porte sur le risque. Les professionnels de la sécurité de l’information qui réussissent peuvent identifier l'impact combiné et la probabilité qu'une menace exploite une vulnérabilité dans un actif. Ces professionnels doivent combiner ces deux concepts, établir un score basé sur le niveau de risque, puis trouver comment réduire ce score. Ils doivent adopter une approche plus quantitative que qualitative.

Pourquoi la gestion des risques devient-elle plus importante aujourd'hui ?

Joseph MacMillan : La gestion des risques fait partie intégrante de la vie des entreprises depuis longtemps, mais aujourd'hui, la cybersécurité et l'informatique sont devenues omniprésentes. L'informatique constitue l'épine dorsale de la communication numérique, des systèmes de paiement, de la circulation dans les villes et de la distribution de l'eau ou de l'électricité dans un pays. Toutes ces ressources reposent sur l'informatique. Par conséquent, l'application des principes appropriés de gestion des risques – comme on l'a déjà vu dans les industries à fort impact – est tout à fait logique.

Au chapitre 2, vous mentionnez également l'amélioration continue. Quels sont vos conseils pour aider les professionnels de l'informatique à adopter cet état d'esprit ?

Jospeh MacMillan : Il s'agit de se mesurer et de mesurer son organisation de manière continue. Les principes de l'amélioration continue découlent des exigences, des règlements et des frameworks. La norme ISO 27001, par exemple, permet de montrer que le système de gestion de la sécurité de l'information d'une entreprise est adapté à l'objectif de cette dernière. Pour conserver la certification, les entreprises doivent s'engager à s'améliorer continuellement.

Les auditeurs de la norme ISO 27001 peuvent demander à voir des preuves d'amélioration continue. Ils demanderont à voir les audits des années précédentes et vérifieront si les domaines problématiques ont été améliorés. Ce n'est pas quelque chose qui doit être examiné quelques jours avant un audit, mais plutôt sur une base continue et programmée.

En réalité, beaucoup d'organisations truquent les chiffres ou les traitent comme des cases à cocher. Je pense que cela disparaîtra avec le temps, à mesure que les auditeurs deviendront plus avisés et que les menaces deviendront plus sophistiquées.

J'espère que les professionnels de la sécurité de l’information – jusqu'au niveau de la direction – commenceront à reconnaître l'importance de l'amélioration continue. Je ne suis pas sûr qu'elle soit encore au cœur de la sécurité de l'information. Il y a quinze ans, d'énormes organisations n’avaient pas d’employés chargés de la sécurité. Les contrôles de cybersécurité deviennent de plus en plus importants à mesure que le champ de bataille s'élargit.

À propos de l'auteur

Joseph MacMillan est ceinture noire mondiale de la cybersécurité chez Microsoft. La majeure partie de son travail consiste à aider les entreprises à atteindre leurs objectifs en toute sécurité en levant toute ambiguïté sur les risques. Joseph MacMillan est titulaire de diverses certifications, notamment CISSP, Certified Cloud Security Professional, Certified Information Systems Auditor, Certified Secure Software Lifecycle Professional, AlienVault Certified Security Engineer et ISO 27001 Certified Information Security Management System Lead Auditor.