Apprenez à créer une pile de sécurité efficace pour votre équipe

Publié: 2020-05-05

La création d'une pile technologique est l'une des tâches les plus difficiles auxquelles sont confrontés les administrateurs informatiques, les professionnels de la cybersécurité et les propriétaires d'entreprise.

En effet, la construction d'un ensemble d'outils de productivité et de cybersécurité nécessite un ensemble minutieux d'équilibrage.

En principe, plus vous déployez d'outils de cybersécurité, plus vos systèmes seront sécurisés, mais jusqu'à un certain point seulement : si vous complexifiez votre pile, elle peut devenir difficile à gérer, et ainsi introduire des vulnérabilités, ainsi qu'augmenter votre investissement initial dans les systèmes techniques.

Un rapport d'Aberdeen et de Cyber ​​​​adAPT a révélé qu'une pile technologique d'entreprise typique à six couches - comprenant la mise en réseau, le stockage, les serveurs physiques, ainsi que les couches de virtualisation, de gestion et d'application - oblige les CISO à gérer pas moins de 1,6 milliard de versions de installations techniques pour 336 produits, fournies par 57 fournisseurs.

Ce problème est exacerbé par la nature de plus en plus dynamique de la plupart des environnements d'entreprise. L'essor des solutions logicielles de travail à distance, le regain d'intérêt pour la gestion d'équipes virtuelles et l'augmentation progressive de l'utilisation des VPN au cours des dix dernières années indiquent que de nombreuses entreprises cherchent désormais à développer des piles de cybersécurité pouvant être efficacement déployées hors site, avec les complexités supplémentaires que cela apporte.

Dans cet article, nous allons revenir aux fondamentaux. La construction d'une pile d'outils de cybersécurité efficace repose, à un niveau fondamental, sur un certain nombre de principes clés. Gardez-les à l'esprit lorsque vous créez et développez votre propre pile, et vous pourrez atteindre l'équilibre entre simplicité et fonctionnalité qui est la marque d'une excellente pile d'outils.

Comment construire correctement une pile de sécurité

La première et la plus importante étape dans la construction d'une pile d'outils de cybersécurité consiste à mettre en place une stratégie de cybersécurité et de gouvernance de l'information. Cela peut sembler évident, mais c'est une étape que de nombreuses entreprises négligent encore : 44 % des 9 500 dirigeants interrogés dans le cadre de l'enquête sur l'état mondial de la sécurité de l'information menée par PwC en 2018 ont déclaré qu'ils n'avaient pas mis en place de stratégie globale de sécurité de l'information.

Sans une stratégie de cybersécurité approfondie et rigoureuse, il est presque impossible de créer une pile d'outils qui atténue véritablement les menaces auxquelles vous êtes confronté. Toute pile d'outils développée sans supervision stratégique souffrira probablement d'un certain nombre de problèmes interdépendants. Il sera soit insuffisamment large pour faire face à l'étendue de votre profil de menace, deviendra rapidement obsolète compte tenu du nombre croissant de menaces, ou ne vous permettra pas une surveillance suffisante de vos données pour respecter la législation en matière de gouvernance et de conformité.

On peut en donner deux exemples. La montée en flèche du cryptojacking au cours des dernières années a pris de nombreuses entreprises par surprise, car elles sont habituées à protéger les données plutôt que leurs ressources informatiques, et sans audits réguliers des menaces, beaucoup ont eu du mal à réagir. De même, l'ampleur croissante de la censure sur Internet au cours de la dernière décennie a rendu de nombreuses solutions de travail à distance héritées presque inutiles, car les entreprises tiennent pour acquis que les travailleurs hors site ont un accès complet à toutes les ressources et systèmes en ligne dont ils ont besoin.

Ce ne sont pas toutes de mauvaises nouvelles, cependant. Développer un cadre de cybersécurité ne consiste pas seulement à atténuer les risques : cela peut également améliorer la productivité. Dans l'enquête 2016 de Tenable, 95 % des personnes interrogées disposant d'un cadre en place ont constaté des avantages, notamment une plus grande efficacité des opérations de sécurité, la conformité contractuelle, la maturité et la capacité de présenter plus efficacement la préparation à la sécurité à la direction de l'entreprise.

Découvrez quels sont les domaines de risque de votre entreprise

Une fois que vous avez mis en place un cadre efficace de gestion des risques, il est temps d'évaluer honnêtement les vulnérabilités de cybersécurité les plus dangereuses auxquelles votre entreprise est confrontée et de hiérarchiser les risques qui auront le plus grand impact sur la durabilité de votre entreprise.

La plupart des sociétés d'analyse de la cybersécurité divisent les types de menaces auxquelles est confrontée l'entreprise moyenne en cinq éléments :

  • La sécurité physique de vos systèmes et de votre matériel , qui comprend les cadres de contrôle d'accès et Zero Trust.
  • Sécurité du périmètre du réseau , qui intègre la détection des intrusions, leur atténuation et le renforcement des terminaux.
  • La sécurité des communications internes. Il s'agit d'un vaste domaine qui comprend des tactiques pour limiter les fuites et les pertes de données, ainsi que des systèmes pour lutter contre les menaces internes, qui restent parmi les vulnérabilités les plus dangereuses auxquelles les entreprises sont confrontées.
  • La réponse aux incidents devrait également faire partie intégrante de toute stratégie de cybersécurité. Même la pile d'outils de cybersécurité la plus sécurisée ne peut pas vous offrir une protection à 100 % contre toutes les menaces, et la façon dont vous réagissez aux attaques réussies est souvent l'élément le plus important de la pérennité de l'entreprise.
  • Enfin, votre stratégie doit inclure la réponse à long terme aux attaques réussies , qui comprend un processus de cybercriminalité, d'enquête et de stratégies de litige suite à une attaque.

Ces cinq éléments sont également ceux contenus dans ce qui reste le cadre le plus complet pour planifier une stratégie de cybersécurité : le cadre NIST. Ce cadre comprend cinq principes (identifier, détecter, protéger, répondre et récupérer des menaces) qui reflètent ceux ci-dessus et présentent une approche du début à la fin pour faire face aux cybermenaces.

Adoptez une approche multicouche de la sécurité

Avec une stratégie de cybersécurité en place, vous pouvez commencer à investir dans les outils nécessaires pour protéger vos données (et votre personnel) contre les cybermenaces. L'intérêt de concevoir vos systèmes comme une série d'éléments, et de suivre le cadre NIST parallèlement à cela, est que cette approche met en évidence que votre réseau n'est pas un tout monolithique. Chaque niveau de votre système doit être défendu, et chacun de ces outils défensifs doit s'appuyer sur le dernier.

Il y a deux grandes leçons à tirer du type d'analyse que nous avons expliqué ci-dessus. La première est que les entreprises doivent équilibrer leurs dépenses en cybersécurité sur les cinq éléments de la sécurité de leur réseau, car en fin de compte, la sécurité de vos systèmes n'est aussi bonne que celle de la partie la plus faible. La seconde est qu'elle pointe vers un paradigme défensif qui a d'abord été popularisé par la NSA, mais qui est désormais un élément fondamental de la stratégie de cybersécurité de la plupart des entreprises : la "défense en profondeur".

Équilibrer votre pile

Prenons ces deux idées tour à tour. La principale valeur de l'évaluation des risques selon la rubrique ci-dessus est qu'elle permet aux entreprises d'équilibrer leur investissement dans les outils de pile de cybersécurité en fonction du type de données qu'elles détiennent et de l'endroit où leurs vulnérabilités sont les plus aiguës.

Pour les entreprises qui ont besoin de protéger des quantités importantes de propriété intellectuelle, par exemple, les vulnérabilités des systèmes de sauvegarde seront probablement une priorité majeure et le domaine dans lequel des outils de cybersécurité plus avancés devront être déployés. Ce type d'entreprise devrait également se concentrer sur la protection contre les violations et l'atténuation des intrusions, car elles détiennent des données précieuses (et donc potentiellement vulnérables).

Un autre type d'entreprise, disons celle qui se concentre sur la fourniture d'outils SaaS, devra donner la priorité à une partie différente de sa pile. Une entreprise qui fournit la plupart de ses services via le Web devra se concentrer davantage sur la protection DDoS et l'intégrité du serveur. Au lieu que la valeur soit détenue dans les données, dans ce type d'entreprise, la durabilité est représentée par la disponibilité, ce qui devrait éclairer les décisions d'achat lorsqu'il s'agit de créer une pile d'outils de cybersécurité.

Défense en profondeur

Le concept de « défense en profondeur » est intrinsèquement contenu dans l'idée d'une « pile » de cybersécurité. En pratique, cela signifie que vos défenses doivent être organisées en une série de couches défensives, chacune s'appuyant sur la dernière. Cela signifie également que les méthodes utilisées par ces mécanismes défensifs doivent être bien diversifiées.

L'idée centrale ici est que les pirates devraient se voir présenter une série de défenses et de contre-mesures croissantes. En plus de penser que votre pile vous protège aux cinq niveaux que nous avons couverts ci-dessus, cela signifie également que vos outils doivent utiliser autant que possible les techniques suivantes :

  • Endpoint ou logiciel antivirus
  • Sécurité de la messagerie dans le cloud ou protection avancée contre les menaces
  • Authentification et sécurité par mot de passe
  • Archivage
  • Biométrie
  • Sécurité centrée sur les données
  • Continuité des e-mails et DRP
  • Chiffrement
  • Pare-feu (matériel ou logiciel)
  • Hachage des mots de passe
  • Systèmes de détection d'intrusion (IDS)
  • Journalisation et audit
  • Authentification multifacteur
  • Analyseurs de vulnérabilité
  • Contrôle d'accès temporisé
  • Formation de sensibilisation à la sécurité Internet
  • Réseau privé virtuel (VPN)
  • Bac à sable
  • Systèmes de protection contre les intrusions (IPS)

La défense en profondeur signifie également que les entreprises ne doivent pas voir leurs défenses comme un « mur » impénétrable qui dissuadera tous les intrus. Au lieu de cela, vous devez accepter que, éventuellement, certaines de vos défenses de première ligne seront violées.

Un bon exemple de cela est la sécurité des e-mails. La grande majorité des entreprises utiliseront le courrier électronique fourni par Microsoft ou Google. Ces deux systèmes présentent des vulnérabilités de sécurité bien connues, et il est également bien connu que la grande majorité des cyberattaques commencent par un e-mail de phishing.

Essayer d'arrêter toutes ces attaques au niveau des boîtes de réception des employés est essentiellement impossible tout en offrant la flexibilité et les fonctionnalités dont les employés ont besoin pour travailler de manière productive. Au lieu de cela, les entreprises devraient se tourner vers le niveau de sécurité suivant : là où les e-mails sont stockés, ce qui pour la plupart des entreprises sera le stockage dans le cloud.

Par conséquent, le cryptage des e-mails et la formation du personnel sont essentiels pour prévenir les cyberattaques, assurer une défense en profondeur signifie également mettre en place des solutions de stockage cloud cryptées pour les e-mails et sauvegarder ces archives cryptées.

Maîtrisez la sécurité de votre réseau

En parcourant le cadre ci-dessus, vous reconnaîtrez immédiatement que la création d'une pile de cybersécurité sécurisée impliquera probablement d'investir dans plusieurs outils de plusieurs fournisseurs. Cette diversité, comme nous l'avons souligné, est essentielle pour assurer de solides défenses en matière de cybersécurité, mais elle peut également causer des problèmes.

En effet, les entreprises ont tendance à sous-traiter les services de sécurité pour les différents niveaux de leurs piles de cybersécurité sans réfléchir soigneusement aux responsabilités qui devraient être confiées à chaque fournisseur.

Par conséquent, parallèlement à l'investissement dans des outils de qualité, votre stratégie de cybersécurité doit également impliquer une cartographie minutieuse de vos fournisseurs qui assument la responsabilité de quelles parties de votre système : à la fois sur le plan opérationnel et en cas de litige éventuel suite à une cyberattaque.

Idéalement, votre relation avec vos fournisseurs devrait être considérée comme un partenariat commercial plutôt que comme une simple relation acheteur-fournisseur. Les fournisseurs de qualité peuvent être reconnus par le temps et les efforts qu'ils consacrent à comprendre vos besoins et leur réactivité à ceux-ci. Un fournisseur respectable sera également en mesure de décrire ses responsabilités opérationnelles et légales précises en matière de protection de vos données.

Conclusion

Lorsqu'il s'agit de créer des piles de cybersécurité, de nombreuses entreprises présentent encore une "fixation de cible". Selon le secteur dans lequel ils travaillent, il peut être tentant de se concentrer uniquement sur une partie de votre infrastructure de cybersécurité : protéger les données si votre modèle économique est basé sur l'analyse et l'acquisition de données, par exemple, ou tenter de rendre vos plateformes de sensibilisation 100 % sécurisées. si vous travaillez dans le marketing.

Comme nous l'avons montré ci-dessus, ce type d'approche est problématique car il ne parvient pas à réaliser l'idée centrale du modèle "pile". Au lieu de construire des murs soi-disant impénétrables autour de votre réseau, vous devez accepter que quelqu'un finisse par s'y introduire. À ce stade, ils devraient être confrontés à une série croissante de difficultés.

En adoptant une approche plus holistique, vous pouvez améliorer la sécurité à tous les niveaux de votre pile - que vous travailliez avec des données marketing ou un écosystème IoT - et vous assurer qu'il n'y a pas de faille dans votre armure.