4ème partie : Protéger en 3 étapes

La cybersécurité ne se résume pas à une solution unique. L’époque où l’on pouvait croire que son ordinateur était simplement protégé parce qu’un antivirus avait été installé est révolue. Une seule couche de protection ne peut pas protéger une organisation contre les cybermenaces auxquelles elles sont exposées aujourd’hui.

Il y a une raison simple à cela : les systèmes d’information ont besoin de points d’accès. Une organisation a besoin de communiquer, leurs réseaux ne peuvent donc pas être complètement fermés. Même lorsqu’ils le sont, comme dans le cas d’un système totalement isolé, les données peuvent toujours être volées, comme le montre cette vidéo étonnante.

Une bonne stratégie de cybersécurité doit être composée de plusieurs couches. La norme ISO/IEC 27001 :2013, le programme de cybersécurité du NIST ou les contrôles du CIS 18 sont tous des exemples de défense en profondeur.

Voici une illustration simplifiée de cette approche :

Il existe 3 types de contrôle : Physique, Technique et Administratif.

Des termes comme la cybersécurité et le piratage sont généralement associés aux systèmes informatiques. Mais la sécurité comporte de nombreux aspects différents, comme la sûreté ou les accès physiques. Vous pouvez disposer des meilleurs contrôles techniques et administratifs, mais si vous manquez de contrôles physiques, vous ne protégerez pas longtemps vos données.

Les contrôles ont généralement 3 fonctions : Prévention, Détection et Correction

Prévention : Le contrôle physique est la mise en œuvre de mesures de sécurité dans une structure définie utilisées pour dissuader ou empêcher l’accès non autorisé à du matériel sensible.

Détection : Les contrôles techniques utilisent la technologie comme base pour contrôler l’accès et l’utilisation des données sensibles dans une structure physique et sur un réseau.

Correction : Les contrôles administratifs définissent les facteurs humains de la sécurité. Ils impliquent tous les niveaux de personnel au sein d’une organisation et déterminent quels utilisateurs ont accès à quelles ressources et informations.

Il n’est pas toujours possible d’arrêter les attaques par des contrôles préventifs. L’idéal serait de pouvoir bloquer les menaces avant qu’elles ne se frayent un chemin jusqu’à vos systèmes, mais en réalité, la capacité de faire face à une menace présente dans vos systèmes et de la restaurer à l’aide d’un contrôle correctif est tout aussi importante, sinon plus, que le simple fait de pouvoir empêcher une intrusion.

Hélas, la technologie seule ne peut pas sauver le monde.

Comme l’a dit l’ancien directeur du FBI, « la sécurité est toujours de trop jusqu’à ce qu’elle ne soit plus suffisante ». Nous n’interprétons la cybersécurité que dans la mesure où nous percevons les menaces, mais la pensée des cybercriminels se balade là où celle de la personne moyenne ne va généralement pas ou est moins susceptible d’aller.

La composante humaine d’une stratégie de cybersécurité demeure l’une de ses couches les plus incertaines.

Ainsi, une étude menée par HP Wolf Security montre que sur le lieu de travail, les personnes qui n’ont pas la charge de la sécurité ont tendance à penser que la sécurité est toujours trop importante, surtout dans la tranche d’âge des 18-24 ans. C’est là qu’interviennent les rébellions des employés de bureau :

  • 54 % des employés de bureau âgés de 18 à 24 ans sont plus préoccupés par le respect des délais que par l’exposition de l’entreprise à une violation des données.
  • 48 % des employés de bureau âgés de 18 à 24 ans déclarent que les mesures de sécurité entraînent une perte de temps considérable et constituent une entrave.
  • 37 % des employés de bureau déclarent que les politiques et stratégies de sécurité sont trop restrictives.
  • 31 % des employés de bureau âgés de 18 à 24 ans ont essayé de contourner la sécurité.

Votre stratégie de cybersécurité est aussi forte que le composant humain le plus faible de votre organisation. Vous pouvez avoir fermé ou fortement restreint l’accès à vos données, mais une seule action (ou inaction) humaine peut invalider vos meilleurs efforts et permettre aux attaquants de mettre le pied dans la porte.

La morale de cette histoire est assez simple : La cybersécurité est vraiment un travail d’équipe. C’est la responsabilité de chaque membre de l’équipe et cette prise de conscience doit se poursuivre et même croître. Un simple coup d’œil à l’actualité permet de constater les conséquences des cyberattaques.

De nouvelles vulnérabilités sont découvertes chaque jour. D’anciennes, parfois vieilles de plusieurs années, sont également exploitées quotidiennement. Dans de trop nombreux cas, le dénominateur commun est l’humain, qu’il soit volontaire ou non. Parfois, à l’insu de la victime et sans action requise, comme nous le démontre #FORCEDENTRY, découvert en analysant un portable infecté par le logiciel espion Pegasus du groupe NSO. 

Si les humains constituent la plus grande vulnérabilité de la posture de cybersécurité d’une organisation, ils ont aussi le pouvoir d’être sa plus grande force.

Une organisation a besoin d’une personne qui possède les compétences et les connaissances nécessaires pour comprendre les risques et les défis en matière de sécurité et pour interpréter les données fournies par les contrôles mis en œuvre.

Malheureusement, ces compétences sont tellement demandées à l’heure actuelle que certaines organisations n’ont pas les moyens d’engager un RSSI à plein temps.

Il y a quand même une bonne nouvelle dans cette histoire : les organisations ont plusieurs options.

L’embauche d’un CISO / RSSI est l’option la plus logique et la plus efficace, à condition de parvenir à trouver la bonne personne. Ce n’est pas impossible, mais comme je l’ai déjà mentionné, il existe une pénurie de talents en cybersécurité et ce, dans le monde entier. Compte tenu de la forte demande, cela signifie également qu’une personne avec d’excellentes connaissances en cybersécurité peut être hors budget pour de nombreuses entreprises.

La mise à niveau des compétences de leur personnel existant est une autre option. Les certifications en matière de cybersécurité sont nombreuses et accessibles. Il convient de noter que si une organisation choisit de parrainer la formation des membres de son équipe, elle doit être consciente de la manière dont la valeur de sa main-d’œuvre augmente.

Outre les formations certifiantes, il existe également de nombreuses connaissances en matière de cybersécurité que l’on peut acquérir gratuitement en ligne. Cependant, il est important de mentionner qu’il peut être très complexe de naviguer dans ces eaux sans aide.

En attendant que le personnel soit formé ou qu’elle trouve la bonne personne, les entreprises peuvent toutefois prendre des mesures. Il est désormais possible d’obtenir un CISO / RSSI-as-a-Service sur abonnement, sans impact à long terme sur la masse salariale.

Une autre couche de sécurité peut être ajoutée par le biais d’une assurance cybersécurité, qui peut contribuer à divers éléments du processus de récupération, comme la limitation des coûts de perte de données ou d’interruption des activités. La couverture varie d’un assureur à l’autre, c’est pourquoi il est primordial d’étudier attentivement la proposition de police avec l’aide d’un professionnel.

La morale de l’histoire

Les cybermenaces ne vont pas disparaître. Au contraire, elles ne feront qu’augmenter. Autant s’y habituer et agir en conséquence.