Tom Wang - Fotolia

Se préparer aux incidents de sécurité

Les entreprises doivent être prêtes à agir face à des incidents de sécurité et à des attaques. Et cela passe notamment par sept points précis.

Un plan de préparation à la cybersécurité présente et détaille les objectifs fondamentaux que l’organisation doit atteindre pour se considérer comme prête à faire face à des incidents de sécurité informatique. La liste de contrôles qui va suivre n’est pas exhaustive, mais elle souligne des objectifs qui constituent un minimum requis pour donner un niveau raisonnable de sensibilisation à la cybersécurité et se concentrer sur la protection des actifs informationnels essentiels.

Ici, la préparation à la cybersécurité est définie comme l'état permettant de détecter et de réagir efficacement aux brèches et aux intrusions informatiques, aux attaques de logiciels malveillants, aux attaques par hameçonnage, au vol de données et aux atteintes à la propriété intellectuelle – tant à l'extérieur qu’à l'intérieur du réseau.

Un élément essentiel de cette définition est de « pouvoir détecter ». La détection est un domaine où une amélioration significative peut être atteinte en abaissant le délai de détection, couramment observé entre 9 et 18 mois. Une capacité de détection plus rapide permet de limiter les dommages causés par une intrusion et de réduire le coût de récupération de cette intrusion. Être capable de comprendre les activités régulières du réseau et de détecter ce qui diverge de la norme est un élément important de la préparation à la cybersécurité. Voici une sept objectifs que les entreprises devraient considérer.

Les objectifs à atteindre

1. Plan de cybersécurité : pour atteindre un objectif, il est essentiel d'élaborer un plan fournissant une ligne directrice. A cet égard, la cybersécurité n'est pas différente de tout autre effort. Un plan de cybersécurité est le premier de plusieurs objectifs qui conduisent à être préparé. Un exemple d'objectif dans un plan de cybersécurité peut être de protéger les informations personnelles identifiables, financières de clients et employés, contre le vol, la consultation, la divulgation non autorisée et les changements illégitimes, par des acteurs malveillants internes et externes. Dans le plan de cybersécurité, les objectifs et un calendrier sont définis, avec des jalons et des indicateurs pour chacun.

2. Gestion du risque : la sécurité de l'information est une activité de gestion des risques opérationnels. L'utilisation de techniques de gestion des risques aidera à identifier les actifs informationnels essentiels, mais également les personnes, les processus et les actifs critiques. Il s’agit également d’identifier pourquoi les actifs critiques choisis sont nécessaires aux opérations quotidiennes et à leur continuité. Enfin, il s’agit de comprendre l'environnement de risque qui menace ces actifs critiques.

3. Gestion de l'identité : elle se compose de divers plans, politiques, procédures et technologies visant à fournir un accès approprié aux ressources et à comprendre comment ces ressources sont utilisées et par qui. Les plans, politiques, procédures et technologies nécessaires comprennent :

  • Contrôle d'accès. Ceci est fortement lié à la gestion d'identité, qui est nécessaire pour distinguer les utilisateurs les uns des autres, et mettre à disposition de chacun les services et ressources appropriées.
  • Authentification. L'authentification permet de valider l’identité numérique de l’utilisateur.
  • Autorisation. La gestion des autorisations concerne les droits et permissions accordées aux utilisateurs sur les ressources auxquelles ils accèdent. Ils sont déterminés par la stratégie organisationnelle.
  • Responsabilité. C'est comprendre qui fait quoi sur le réseau. L'authentification, l'autorisation et la responsabilité dépendent tous de la gestion de l'identité.

4. Surveillance de réseau : elle permet de voir et de comprendre le contexte de sécurité de chaque paquet entrant et sortant du réseau d'entreprise. Surveiller efficacement un réseau, c'est être capable de voir et de comprendre quelles informations circulent, sortent et traversent le réseau afin de savoir si ces flux sont souhaités, indésirables, appropriés ou inappropriés. Des systèmes et des protocoles de surveillance appropriés permettront à une organisation de découvrir plus rapidement des divergences par rapport aux activités habituelles, qu’elles soient prévues ou suspectes.

5. Architecture de sécurité : une architecture de sécurité réseau robuste, permettant des échanges locaux ou distant mais sécurisé, est un élément essentiel pour contrôler et comprendre le fonctionnement du réseau, ainsi qu’en assurer la surveillance.

6. Contrôle des actifs, des configurations et des changements : cela recouvre le processus de mise à jour logicielle, le contrôle des inventaires, la gestion des changements et l'évaluation interne. S’ils ne sont pas correctement gérés, ces domaines représentent souvent des sources importantes de vulnérabilités et de risque pour l’infrastructure.

7. Cartographie de la gestion des incidents : il s'agit de pouvoir répondre efficacement aux incidents de sécurité. Une réponse efficace peut réduire l’étendue des dommages causés, ainsi que les délais et les coûts de récupération.

Résumé

Ces sept éléments de préparation à la cybersécurité sont essentiels pour atteindre un degré élevé de connaissance de l’activité et des utilisations de son infrastructure. Sans une compréhension exhaustive de ses actifs informationnels les plus importants, de la façon dont ses systèmes et réseaux fonctionnent, dont accompagnent les opérations commerciales, mais aussi des informations qui circulent dans et hors de son environnement, une organisation ne peut pas se préparer à la cybersécurité. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close