Ce thème est récurrent dans nos sociétés, il a connu le même essor que l'arrivée du numérique dans nos modes de vie et de travaille. Aujourd’hui c'est l'affaire de tous, il ne se borne pas à des spécialistes ou des infrastructures car même la sécurité la plus complexe peut être mise à mal par un mauvais comportement voulu ou pas d’un utilisateur et avoir des répercutions multiples.

Il serait impossible de résumer une solution ou une approche mais par contre voici quelques points à garder en tête.

Pour commencer un point de vue celui de Bruce Schneier

 « La raison principale de l'existence de l'industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n'y aurait pas besoin de produits antivirus. Si le mauvais trafic réseau ne pouvait être utilisé pour attaquer les ordinateurs, personne ne s'inquiéterait d'acheter un pare-feu. S'il n'y avait plus de dépassement de tampon, personne n'aurait besoin d'acheter des produits pour se protéger contre leurs effets. Si les produits informatiques que nous achetons étaient sûrs par défaut, nous n'aurions pas besoin de dépenser des milliards chaque année pour les rendre plus sûrs. »

La planification

Est un point essentiel au domaine de la sécurité il doit être à l’image de l’entreprise car les besoins d’une PME ne sont pas les mêmes qu’une multinational, d’un médecin ou d’une banque. Elle doit se baser sur plusieurs critères qui vont de la sécurisation des données, des applications ainsi que des personnes physiques et des infrastructures tel que datacenter et bâtiment.

Il est donc nécessaire de réunir autour d’une table un certain nombre d’interlocuteur tel que des services juridiques, les ressources humaines, les utilisateurs et ainsi que les cadres et dirigeant pour les sensibiliser à la problématique surtout à notre époque numérique ou les données sont le nouveau carburant de nos industries et mode de vie.

Il faut prendre en considération les environnements internes et externes et rester vigilant au feedbacks pour mesurer l’efficacité du système mis en place. Afin d’améliorer ce dernier en termes de couts et de performance. Il faut donc un certain nombre d’acteur mais coordonnées tel des musiciens dans un concert classique.

Pour résumer sans plan, l’entreprise court un risque important de naviguer à vue d’une menace à l’autre et de ne jamais anticiper les risques.

Classification des données

Toutes les donnes non pas la même valeur, tout le monde comprendra que sont nickname et moins important que les références de sa carte de crédit. Il faut donc adapter la sécurité au type d’information. Des classements de diffèrent départements tel que ressource humaine, environnements de production ou de qualités.

En classant les données, non seulement les investissements dans la sécurité sont mieux connus, mais ces efforts aideront également à informer d’autres domaines du programme de sécurité tels que la planification des réponses aux incidents et la gestion des identités et les privilèges d’accès.

Sans classification correcte des données, les entreprises ne sauront pas par où commencer, alors elles investissent trop en essayant dans l’optique de tout protéger ou bien elles n’investissent pas là où il faut.

La compréhension du business modèle de l’entreprise

Il est nécessaire d’avoir une bonne compréhension du fonctionnement de l’entreprise et de ces besoins, de sa culture et de sa tolérance au risque. Ne pas prendre ces paramètres en considération lors de l’établissement des Stratégies de sécurités c’est d’entré d’insérer des éléments d’erreurs qui peuvent mener à la catastrophe. Cela peut aller dans les 2 sens à savoir que trop de sécurités peuvent engendrer des destructions de performance là ou certains départements doivent avoir une grande réactivité (je pense à au trading ou la nation de flux peut être à mal avec une sécurité mal définie). Il faut trouver un équilibre.

Un autre point à prendre en considération c’est l’évolution de l’entreprise car à mesure que les organisations deviennent plus dépendantes des services de données et de logiciels pour exploiter leur entreprise, aligner les équipes de cybersécurité et les objectifs de l’entreprise devient encore plus crucial. Non seulement la surface d’attaque de l’organisation augmente à mesure que l’empreinte numérique augmente, mais le logiciel et les données deviennent plus importants pour la survie de l’entreprise.

Bien sûr, le fait d’avoir une bonne sécurité et un bon alignement exige une bonne communication avec les hauts dirigeants, mais aussi une connaissance de chaque unité commerciale, de ses objectifs, et de comprendre leurs besoins et de les aider à mieux gérer les risques auxquels ils feront face en essayant d’atteindre ces objectifs.

La conformité réglementaire entraîne la sécurité

Nous avons vu dernièrement par la mise en pratique de la règlementation européenne GDPR

(General Data Protection Regulation) que les grandes entreprises pouvaient la mettre relativement rapidement en place du fait que leurs systèmes d’information avec déjà une structure conforme à cette dernière. Les entreprises n’ayant pas pu faire cet exercice rapidement avait des failles de gouvernance.

C’est toujours un cauchemar. Les entreprises sont prises au piège entre répondre aux exigences réglementaires et « cocher les cases », si bien qu’elles ne se concentrent pas réellement sur l’atténuation des risques réels de violation. En d’autres termes, il y a une grande différence entre l’installation de toutes les bonnes technologies de sécurité, le fait d’avoir quelqu’un au poste de RSSI et la mise en place de toutes les bonnes politiques de gestion de toutes ces technologies et de soutenir le programme avec les bons processus imposés par la direction de la sécurité qui a l’autorité réelle.

 Les chefs d’entreprise ne sont pas impliqués dans des exercices de simulation le test de table, un exercice qui consiste pour les membres de l’équipe à interagir, par la discussion, à la façon dont ils réagiraient à un scénario défavorable réaliste, tel qu’une attaque sur leurs données ou leurs systèmes critiques. Chaque participant doit répondre en expliquant la façon dont son organisation réagira face à une attaque, et ces exercices aident à établir les bonnes lignes de communication au cas où l’attaque venait à se produire, et à combler les lacunes dans les ressources et les capacités bien avant que tout événement indésirable se produise. Il est également essentiel que les dirigeants d’entreprise participent à ces exercices afin qu’ils identifient quelles sont les responsabilités de chaque groupe et comment aider à mieux gérer l’organisation.

Les technologies et les formations

Chaque jour nous apporte son lot de nouveauté technologique, communication, smart phone intelligence artificielle système de payement, cloud etc. etc. Toutes ces technologies apportent avec elles des failles de sécurité (les zéro day faille non référencés donc pas corriger il y a un marché très lucratif). Il serait utopique de croire qu’elles n’ont aucun default car le monde du numérique et d’être connecté et que le maillon le plus faible peut mettre a mal toute la chaine de sécurité (un smart phone est un excellent vecteur d’attaque en servant de relay si il est directement connecter au réseau de l’entreprise)

Cela ne sert à rien d’avoir une porte de 10 cm d’acier si cette dernière et fixé sur un mur en papier on contournera cette dernière. Il faut donc lors de la mise en production d’une nouvelle technologie l’évalué, l’encadrer rester vigilant.

La formation des utilisateurs est primordiale, les attaques basées sur le social engineering nous la démontré plus d’une fois. Les réseaux sociaux, notre utilisation de l’internet en laissant des petits bouts d’information constitue une mine d’or pour les attaquants, la recoupe d’informations ou l’estimation d’une information constitue le cheval de bataille. Savoir qu’on a dans la maison des spécialistes de tel ou tel produit constitue déjà ce qu’il peut y avoir comme produit high-tech. Les lieux publics ne sont pas des extensions des salles de réunion. C’est impressionnant le nombre d’informations sensible que l’on peut capter dans un train.