Toute organisation moderne se doit aujourd’hui de gérer systématiquement ses cyberrisques et d’en tirer des mesures à court, moyen et long terme. Il est aussi important de garder un œil sur l’évolution des menaces pendant la phase de mise en œuvre.
Les responsables de la sécurité IT ont plus de travail que jamais en ce moment. Les attaques contre les entreprises de toutes sortes deviennent de plus en plus sophistiquées et variées. La dépendance des entreprises envers un système IT fonctionnel continue de s’accroître. Et les risques financiers et de réputation, par exemple en cas de fuite de données sensibles, augmentent également. Dans le même temps, le paysage IT à sécuriser devient de plus en plus complexe et interconnecté, ce qui a un impact sur le nombre de scénarios d’attaques théoriques et pratiques. Pour faire face à cette situation, les responsables doivent très systématiquement, sur la base d’une analyse des risques, dresser un tableau aussi complet que possible des mesures appropriées et les mettre en œuvre de manière hiérarchisée au fil du temps. Différents frameworks sont disponibles pour une telle «cyber security roadmap», comme par exemple NIST, ISO ou CIS.
La rapidité d’action est un facteur critique pour la mise en œuvre d’une cyber security roadmap. L’objectif final est de minimiser la fenêtre temporelle pour des attaques désastreuses et des dommages qui pourraient être classés comme dus à la négligence en raison d’un manque de contrôles. Et bien sûr, la grande majorité des entreprises sont confrontées ici à des ressources limitées en termes de finances et de personnel. Il est donc naturel d’envisager l’externalisation des tâches là où un service sophistiqué peut être facilement acheté et rapidement mis en œuvre. Cela permet en outre de profiter des effets d’échelle et de l’offshoring, tout en économisant les investissements initiaux ainsi que les coûts de personnel. Toutefois, chaque recours à l’externalisation entraîne aussi des inconvénients qui doivent être évalués de manière réaliste. Sinon, il est possible que le niveau global de protection diminue au lieu d’augmenter. Voici quelques exemples:
Un autre aspect à considérer pour une cyber security roadmap efficace est la nature dynamique de l’environnement, qui devrait permettre de redéfinir les priorités à tout moment. Dans le cas des attaques ciblées, les pirates ne sont pas impressionnés par les efforts de défense déployés par une entreprise. Ils se concentrent sur les failles qui passent inaperçues. On pourrait citer Kevin Mitnick, pirate notoire reconverti en Security Consultant: «Vous pouvez dépenser une fortune en technologies et en services, mais votre infrastructure réseau pourrait tout de même rester vulnérable aux manipulations à l’ancienne». Pour trouver et combler ces failles, il est nécessaire de les traquer en comparant constamment les scénarios d’attaque actuels avec vos propres mesures défensives. Si vous adoptez le point de vue des pirates, vous trouverez souvent des failles qui peuvent être comblées avec un effort raisonnable et qui vous permettront de détecter les attaques à temps ou de mieux vous défendre. Pour ce faire, vous avez toutefois besoin de spécialistes de la sécurité qui ont une bonne vue d’ensemble de votre entreprise tout en ayant suffisamment de liberté pour se tenir constamment à jour et échanger des informations avec d’autres experts dans des trusted groups. En tant que CERT avec 25 années d’expérience dans le trusted community management, nous considérons que des échanges réguliers et actifs à un niveau de confiance élevé constituent l’un des moyens les plus efficaces de suivre le rythme des pirates en matière de cyberdéfense.
En raison de la complexité de la situation, les projets de cybersécurité doivent aujourd’hui être abordés de manière très systématique et globale, à l’aide d’analyses de risques et de cyber security roadmaps. Afin d’atteindre la rapidité et la rentabilité nécessaires dans la mise en œuvre, le recours à l’externalisation est souvent judicieux, mais implique à son tour des risques et des limitations qui ne peuvent pas être ignorés. En outre, il doit être possible de réagir au dynamisme élevé des pirates, ce qui exige une certaine agilité dans la mise en œuvre des mesures. Les experts en sécurité interne qui ont une bonne vue d’ensemble de leur propre entreprise au niveau opérationnel et qui sont en réseau avec leurs pairs à un niveau de confiance élevé doivent être considérés comme un facteur de succès critique pour la détection et la défense précoces contre des attaques complexes.