La cybersécurité se vit et se construit au jour au le jour
Par définition, la sécurité informatique (sécurité du système d’information) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information (avec pour objectif la confidentialité, la disponibilité et l’intégrité du SSI). Pour établir cette sécurité, l’entreprise doit mener une analyse de risque, c’est-à-dire identifier ses vulnérabilités et les menaces de son environnement. Suite à cette analyse, les règles de sécurité sont créées en adéquation avec la politique de sécurité (PSSI) définie.
L’erreur serait de penser, à ce niveau, que la sécurité en place est toujours fonctionnelle et que les règles de sécurité sont acquises et vraies tout le temps.
La cybersécurité (dans laquelle s’inscrit la sécurité informatique) n’est pas un environnement statique. Il est au contraire dynamique et en perpétuelle évolution, se confrontant chaque jour à l’apparition de nouvelles menaces. Les attaques de ransomwares, par exemple, ont été multipliées par 2,6 entre 2014 et 2015. Les vulnérabilités de type « zero-day » ont, elles, augmenté de 125% sur ce même ratio de temps d’après le rapport annuel Symantec sur les cybermenaces.
Mesurer le risque en entreprise (analyse des menaces et des vulnérabilités) est une démarche importante qui doit être répétée pour pouvoir réduire la surface d’attaque, c’est-à-dire réduire le temps entre la détection d’une vulnérabilité et l’application de la mise à jour. De plus, les équipements de sécurité ont également besoin d’être mis à jour, et le personnel a besoin d’être formé.
Alors face à cet environnement en constant mouvement, l’entreprise doit elle aussi adopter un comportement dynamique et alerte. La question qui se pose c’est comment gérer la cybersécurité et qui sont les personnes responsables de cette gestion.
Toute entreprise devrait disposer d’une équipe dédiée à la cybersécurité.
Car ceux qui la vivent au jour le jour et qui se confrontent à ces évolutions, ce sont bien les équipes qui exploitent le système de sécurité. Comment sont composées ces équipes ? Idéalement, nous trouvons la direction des systèmes d’information qui définit la politique de sécurité et choisi les moyens de mise en oeuvre. Le responsable du système de sécurité de l’information (RSSI) applique les décisions de la DSI. Le risk manager, lui, apporte des conseils sur la gestion des risques informatiques pouvant toucher l’entreprise. La cerise sur le gâteau serait en plus une équipe opérationnelle 24H/24 et 7J/7.
Malheureusement ce standard est rarement vérifié.
A la place on observe une fusion très fréquente des rôles RSSI/DSI, évoluant dans un ensemble de domaines variés dont la part consacrée à la cybersécurité est en général faible. Le risk manager reste un métier « nouveau » donc rare, et pas d’équipes opérationnelles 24/7.
Le problème c’est le coût (création et maintien d’une équipe dédiée à la cybersécurité, formation…). Le budget dédié à la cybersécurité est encore faible et insuffisant. Beaucoup d’entreprises n’ont pas de service dédié. Elles ont parfois une équipe qui assume plusieurs rôles et qui n’a pas assez de temps pour se consacrer plus à la cybersécurité. D’autres entreprises font le choix de passer par des prestataires pour réduire ces coûts. Mais comment garantir la sécurité au quotidien avec un prestataire qui vient, en général, une à deux fois par mois pour effectuer des maintenances si besoin, modifier des règles de sécurité si besoin ? Il n’y a pas, dans ce cas-là, d’anticipation possible et la détection de malveillances se fait malheureusement souvent trop tard.
Alors comment savoir si une (nouvelle) menace peut exploiter une vulnérabilité dans l’entreprise ?
La sécurité en place ne le permet pas puisqu’elle est statique et réagit seulement à des règles établies pour répondre à une situation donnée. Pour le savoir, l’entreprise a donc besoin d’effectuer une veille quotidienne et a besoin d’échanger tous les jours avec les différents CERT et laboratoires d’analyse et d’information des risques en cybersécurité. Mettre en place une réelle stratégie de veille permet aux équipes IT de :
- être plus réactives ;
- maintenir une écoute active et dynamique de leur environnement ;
- avoir rapidement connaissance des nouveautés, des opportunités, des tendances ;
- anticiper des malveillances et corriger les vulnérabilités avant qu’elle ne soient exploitées.
Mais la veille demande du temps et a également un coût. Et peu d’entreprises disposent de ce temps et de la disponibilité de leurs équipes (quand elles en ont). Il faut savoir qu’actuellement, la grande majorité des entreprises sont des TPE/PME et au vu du contexte économique, beaucoup recentrent leurs activités et leur budget sur leur cœur de métier. Les prestataires, quant à eux, n’interviennent que ponctuellement et ne permettent pas de gérer et d’anticiper les risques.
C’est pourquoi des services tels que Cyberprotect effectuent (entre autres missions) de la veille permanente, ce qui représente un véritable atout pour les équipes opérationnelles. Cyberprotect est un service managé qui, par la mutualisation des ressources, se constitue comme une véritable aide pour les entreprises.
Concrètement, Cyberprotect c’est :
- Un service 24/7 de contrôle et de prévention en continu de la cybersécurité en entreprise
- Un laboratoire de veille active et permanente qui recense les nouvelles sources de risques
- Un centre opérationnel qui prévient, communique des informations et des bulletins d’alertes ciblés et personnalisés
- Une équipe CERT CYBERPROTECT dédiée
- Une capacité organisationnelle à réagir face à un incident et à le gérer
- De la prévention par la rédaction de nouvelles règles de sécurité
Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/
Venez échanger avec nous sur Twitter, LinkedIn, Facebook
Source : https://www.cyberprotect.fr/la-cybersecurite-se-vit-et-se-construit-au-jour-au-le-jour/