Si vous êtes un professionnel de la cybersécurité avec des décennies d'expérience dans le secteur, je suis sûr que vous avez déjà aidé votre organisation à faire face aux principaux problèmes de sécurité liés au travail à distance. La technologie a considérablement évolué au fil des décennies, de nouvelles surfaces d'attaque apparaissant à chaque changement.
Dans les années 1990, nous avons été confrontés à des problèmes plus élémentaires liés au durcissement des modems terminant les lignes à 64 kbps (Kilobits par seconde) ou à la sécurisation du Wi-Fi qui venait d'apparaître. Dans les années 2000, l'attention s'est portée sur les réseaux privés virtuels à large bande, en réponse à la crise du SRAS et pour sécuriser l'adoption naissante des smartphones. Dans les années 2010, le travail à distance est devenu la norme pour de nombreuses entreprises, les smartphones et l'informatique mobile sont devenus omniprésents, et les entreprises ont commencé à se tourner vers un cloud public ou hybride, ce qui a eu pour effet de ne pas limiter les communications et de perdre le contrôle total des points de contrôle de la sécurité. Tous ces événements ont entraîné de nouveaux défis en matière de politique de cybersécurité.
Ce que nous vivons actuellement, au début de 2020, est sans précédent. S'il y a beaucoup d'inconnues, c'est aussi une excellente occasion de se concentrer sur l'essentiel, les choses à faire pour atteindre la maturité en matière de sécurité. Pour ce faire, il n'y a pas de meilleur point de départ qu'une politique de cybersécurité renforcée.
Cela ne devrait pas être une surprise. La toute première étape consiste à s'assurer qu'il existe une politique de cybersécurité efficace. Cela comprend des mesures documentées approuvées par les services informatiques, la sécurité, la direction générale et le conseil d'administration. La politique de sécurité doit inclure non seulement les biens fournis par l'entreprise, mais aussi les dispositifs apportés par les utilisateurs (on parle de BYOD pour Bring Your Own Devices). La politique doit prendre en considération le niveau de maturité des opérations de sécurité de l'organisation, les technologies mises en œuvre et l'alignement avec les modèles de gestion des risques à l'échelle de l'entreprise.
BYOD
Une politique BYOD, par exemple, peut entraîner de nombreux défis si elle n'est pas correctement construite. L'équipe de sécurité peut-elle placer un certificat numérique sur l'appareil appartenant à l'employé ? Comment l'équipe de sécurité peut-elle faire respecter les normes de sécurité minimales pour les appareils BYOD ? Faut-il utiliser un logiciel de gestion des appareils mobiles pour contrôler étroitement ces appareils ? Que se passe-t-il lorsque l'appareil est volé ou perdu ? L'entreprise peut-elle effacer des données sur l'appareil appartenant à l'employé ?
Il s'agit là de questions stratégiques essentielles auxquelles il faut répondre. Si de nombreuses entreprises ont élaboré des politiques de cybersécurité BYOD solides pour le travail à distance au cours de la dernière décennie, il y a encore des entreprises qui font évoluer leurs politiques de sécurité. Il est important d'élaborer (ou de revoir et renforcer) des politiques basées sur les meilleures pratiques du secteur.
Séparer le tunnel ou pas ?
Le Split Tunneling, dans sa définition la plus simple, permet un accès simultané à l'internet public et au réseau d'entreprise. Dans les années 1990 et au début des années 2000, cette conversation pouvait diviser en deux une salle remplie d'experts en NetOps et SecOps. Mais cela a changé avec les défenses de sécurité et les analyses avancées. Avec l'internet à haut débit, la question de l'accès direct et sécurisé à l'internet pour les petits bureaux (et les utilisateurs distants) a dû être équilibrée avec la quantité et le type de trafic à acheminer. Il est important d'avoir les bonnes politiques basées sur les risques commerciaux, la maturité technologique et les outils de cyberdéfense. La surveillance des anomalies de trafic, les échecs d'authentification à distance, l'analyse des modèles de trafic pour les portes dérobées, la détection des tentatives de contournement des réglementations et, surtout, la capacité à répondre à la vitesse des machines, tout cela devient critique.
Indicateurs de compromission
Ici, là...partout ! La corrélation des événements de sécurité peut être la partie la plus importante d'un système de surveillance efficace. Très souvent, nous voyons de multiples outils utilisés pour gérer une surface d'attaque spécifique - une entreprise moyenne peut avoir plus de 40 solutions de sécurité déployées. Cela peut créer des lacunes importantes dans les opérations de sécurité réparties entre différentes équipes. Par exemple, les alertes sur les postes de travail qui ne sont pas corrélées aux menaces du réseau (par exemple, un pic important de logiciels malveillants appelant à la maison sur des ports réseau spécifiques) ne rendront visible qu'une partie du tableau. Il est important de faire évoluer les politiques de travail internes des différentes équipes opérationnelles.
Les cyber-risques
Dans toute organisation, nous pouvons gérer, atténuer, éviter et transférer les risques. Il existe des outils, tels que les pare-feux et la protection contre les logiciels malveillants, qui peuvent aider à gérer et à atténuer les risques. Des politiques solides peuvent contribuer à éviter les risques. Par exemple, il existe des environnements où nous ne voulons pas que les clés USB se branchent sur les ordinateurs portables. Le transfert des risques prend de plus en plus d'importance dans toutes les entreprises. Bien qu'il ne s'agisse pas d'une mesure à court terme à prendre immédiatement, les responsables de la sécurité devraient examiner les possibilités de transfert des risques les plus pertinents pour leur entreprise en se fondant sur les enseignements tirés de la crise actuelle. Cela pourrait être l'obtention d'un contrat de réponse aux incidents (RI) avec des accords de niveau de service (SLA) solides, intégrés à la détection gérée des menaces. La cyber-assurance, un domaine qui évolue rapidement, est une autre solution à envisager
Enterprise Risk Management (ERM)
Les technologies et les outils de cybersécurité ont beaucoup évolué au cours de la dernière décennie. Cependant, un domaine encore naissant est l'intégration des cyber-risques à la gestion des risques de l'entreprise. J'ai personnellement eu le privilège de collaborer avec des entreprises axées sur les risques d'entreprise, comme des courtiers d'assurance ou des responsables de la mesure des risques. Mon rôle était de créer des ponts entre les cyber-risques et la manière dont les dirigeants et les conseils d'administration gèrent plus globalement les risques à l'échelle de leur entreprise. Avec l'essor de la numérisation, chaque entreprise devient une entreprise numérique. Les risques de sécurité, lorsqu'ils ne sont pas correctement mesurés et intégrés aux risques de l'entreprise, peuvent avoir des effets catastrophiques. Il existe des modèles qui évoluent, comme le FAIR (Factor Analysis of Information Risk), qui méritent d'être étudiés. Les plateformes de notation des risques disponibles sur le marché peuvent également être utiles. Si vous disposez d'une plateforme GRC ou d'un dispositif d'analyse de la vulnérabilité, elles peuvent également vous aider avec des applications rudimentaires axées sur les risques. Là encore, l'intégration de ces outils avec des fonctionnalités d'analyse, de surveillance et d'intervention performantes est un impératif pour les opérations de sécurité.
Splunk peut aider les organisations à améliorer leurs politiques de cybersécurité en faisant progresser les opérations de sécurité tout au long du cycle de vie des événements grâce aux offres SIEM, UBA et SOAR. Notre solide réseau de partenaires technologiques s'intègre aux principaux acteurs de la cybersécurité grâce à l'Adaptive Operations Framework afin que les clients puissent mener une détection et une prévention des menaces avancées.
Enfin, cette semaine, l'équipe de sécurité de Splunk a publié des conseils techniques rapides pour protéger les travailleurs à distance, que j'encourage tout le monde à consulter.
Nous naviguons dans un nouveau monde complexe, où de nombreuses personnes dans le monde entier travailleront à distance dans un avenir proche, ce qui entraînera des risques accrus pour la sécurité. Il est plus important que jamais de s'assurer que les bonnes cyber-politiques sont en place pour aider à améliorer les performances de chaque organisation.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.