Cinq concepts de sécurité testés depuis des décennies

Bien que les recommandations de sécurité pour les logiciels et le matériel aient été mises à jour de manière itérative au cours des dernières décennies, certaines recommandations de sécurité de base ont résisté à l'épreuve du temps et sont toujours aussi importantes qu'elles l'étaient dans les années 1980.

Une chose que nous constatons tous est que le secteur de la sécurité des données a connu un développement rapide au cours des trois dernières décennies, à commencer par les « attaques par frimeur » dans les années 1990 et 2020. 20e siècle) aux attaques ultérieures à des fins « monétaires » et de « hacktivisme », en passant par le mouvement actuel de piratage informatique plus destructeur des États-nations ciblant les gouvernements, les entreprises et les infrastructures publiques.

À mesure que ces menaces évoluent, les besoins de sécurité des entreprises commencent également à croître. Nous assistons à l'émergence de nombreuses nouvelles technologies - des logiciels antivirus et pare-feu à la prévention des pertes de données et à la gestion des journaux en passant par le SIEM (Security Information and Event Management) de nouvelle génération et la veille sur les menaces, qui promettent toutes de nous aider à résoudre les problèmes réseau actuels. dilemme de sécurité.

Au cours des dernières années, nous avons traversé des scénarios client-serveur de base, centrés sur le réseau, centrés sur le serveur, centrés sur la charge de travail, centrés sur le cloud, centrés sur les fichiers, et avons même commencé l'ascension et la chute de divers propositions de sécurité centrées sur les blocs.

Cependant, parmi les nombreuses suggestions qui se sont succédées, nous avons trouvé quelques concepts de sécurité de base qui ont résisté à l'épreuve du temps. Voici cinq perceptions ou concepts de sécurité qui ont résisté avec succès à l'épreuve du temps :

1. L'argent ne fait pas tout

Depuis de nombreuses années, les entreprises luttent passivement contre les logiciels malveillants avancés et les cybercriminels. Face aux nouveaux défis de sécurité et aux exigences réglementaires, ils sont tout aussi réactifs : les entreprises dépensent de l'argent pour acheter de nouvelles technologies et embaucher davantage d'employés et de partenaires pour les gérer. Cette approche a finalement créé une crise de sécurité dans l'entreprise, car les équipes de sécurité n'avaient aucune idée des actifs que possédait l'entreprise et l'infrastructure était surchargée et difficile à gérer.

Cette stratégie de sécurité réactive non seulement gaspille de l'argent, mais conduit également à un méli-mélo de solutions ponctuelles dans l'infrastructure informatique qui ne fonctionnent souvent pas en harmonie les unes avec les autres. Souvent, cela conduit à des fissures dans les fondations du réseau que les entreprises pensaient avoir construit avec succès, laissant ainsi la possibilité aux cybercriminels d’y accéder. Les faits ont montré qu’une augmentation des dépenses de sécurité ne se traduit pas toujours par une diminution du nombre d’incidents de sécurité.

Les organisations doivent repenser leur approche des dépenses de sécurité. Avant chaque achat de nouveau produit, les entreprises doivent soigneusement peser leur besoin de la meilleure technologie et son importance pour construire une infrastructure sécurisée. Pour faire face à des cybercriminels de plus en plus sophistiqués, les organisations doivent transformer leur infrastructure et leurs opérations de sécurité, passant d'une infrastructure et d'opérations de sécurité réactives, lourdes et centrées sur le produit à une infrastructure planifiée, prévisible et centrée sur l'optimisation et l'orchestration.

2. Les gens sont le maillon le plus faible

Les défenseurs de la sécurité mettent en garde depuis des années contre les dangers des « menaces internes ». Les employés malveillants et autres internes souhaitant voler les données de l'entreprise obtiennent un accès non autorisé aux systèmes et serveurs confidentiels de l'entreprise et exécutent des logiciels malveillants pour compromettre les réseaux de l'entreprise. Il y a bien sûr des surprises, comme par exemple un employé stockant par erreur des données confidentielles dans le cloud, de manière involontaire mais tout aussi dommageable.

Aujourd’hui, il existe un troisième facteur qui peut exacerber cette menace interne : une pénurie chronique de compétences en cybersécurité qui rend extrêmement difficile l’embauche de ressources suffisantes pour gérer une infrastructure aussi complexe. En conséquence, l’équipe informatique a connu un burn-out (un état de fatigue et d’épuisement physique et mental provoqué par des individus sous la pression du travail), ce qui a finalement conduit à des failles dans la défense de sécurité. Cela explique pourquoi tant de violations de données sont causées non pas par des cyberattaques soigneusement déployées, mais par de simples erreurs humaines, notamment des erreurs de configuration, des systèmes non corrigés et d'autres facteurs d'hygiène de base.

Ce dont les entreprises ont besoin, ce n'est pas de « plus » mais de « bonne » : la bonne stratégie de sécurité, la bonne infrastructure et les bonnes politiques et procédures de sécurité. L'optimisation de votre portefeuille de cybersécurité est la première étape que les entreprises doivent franchir pour rendre la sécurité plus simple, plus facile à gérer et moins coûteuse, en allégeant le fardeau des professionnels de la sécurité et en leur permettant de donner la priorité à des tâches plus protectrices et plus conviviales pour l'entreprise.

3. Les employés peuvent être la première ligne de défense

Bien que les employés puissent présenter de graves risques pour la sécurité de l'entreprise, ils peuvent également devenir la première ligne de défense contre les cybercriminels. Le moyen le plus efficace de les aider à remplir ce rôle est de créer une solide culture de cybersécurité qui encourage et récompense les employés pour leur sensibilisation à la sécurité et leur comportement en ligne sûr.

Si les employés comprennent l'importance de la maintenance du réseau et des données de l'entreprise, ils seront plus enclins à assumer leurs responsabilités et à se conformer aux politiques de l'entreprise. Il est donc important d’organiser des programmes d’éducation et de formation en cybersécurité qui enseignent aux employés les méthodes et tactiques d’attaque des cybercriminels, telles que les ransomwares et le phishing, et comment réagir lorsqu’une menace est découverte.

De plus, il est tout aussi important d'expliquer clairement comment les employés gèrent leurs activités en ligne et de définir l'accès et l'utilisation « acceptables » et « inacceptables » des réseaux, logiciels et appareils de l'entreprise. Afin de promouvoir les comportements en matière de cybersécurité et de mobiliser la participation des salariés, les entreprises peuvent envisager de développer des programmes de récompense, d’organiser des concours de connaissances mensuels ou encore de lancer des projets de gamification.

Construire une solide culture de cybersécurité basée sur la sensibilisation, la formation et des politiques de sécurité claires prend beaucoup de temps et d'efforts, mais les résultats finaux prouveront certainement que tout l'investissement initial en vaut la peine.

4. Le rôle de la correction des vulnérabilités ne peut être ignoré

À l'ère des outils de sécurité réseau de nouvelle génération, la correction des vulnérabilités peut sembler une tâche triviale, mais il est indéniable qu'elle est puissante. Les vulnérabilités Meltdown et Spectre nous ont prouvé ce fait en tant que partie intégrante des plans de cybersécurité. Le niveau d’effort requis pour corriger les vulnérabilités Meltdown/Spectre sera probablement exponentiellement plus élevé que les efforts de correction des vulnérabilités précédemment répandus.

Les facteurs qui contribuent aux différences dans les efforts de correction des vulnérabilités incluent le nombre de correctifs requis, la complexité de l'installation des bons correctifs sur les bons systèmes et la compréhension des performances et de la stabilité des correctifs sur les systèmes et applications concernés. Impact requis tests, etc Le problème de la gestion des correctifs est exacerbé par l'incapacité des entreprises à mettre à jour les équipements plus anciens, car les réparations sur les systèmes plus anciens sont plus difficiles que sur les systèmes plus récents.

À l'ère des itérations rapides de mises à jour de nouveaux produits, les entreprises doivent se concentrer sur les problèmes de base et placer les technologies et processus de sécurité de base (tels que les correctifs de vulnérabilités) dans la meilleure position pour minimiser les risques, maintenir la sécurité de l'infrastructure et. clarifier le chaos actuel.

5. La sécurité est un problème commercial

Les directeurs de l'information (CIO) et les responsables de la sécurité de l'information (RSSI) ont toujours eu du mal à accéder à des postes de direction et de conseil d'administration. L'une des principales raisons en est leur incapacité à articuler leurs activités de manière à ce que les autres dirigeants et membres du conseil d'administration puissent les comprendre ; ils ne peuvent pas non plus relier les dépenses de sécurité au profil de risque global de l'entreprise. En conséquence, elles ont également du mal à garantir l’efficacité de leurs opérations commerciales, car les décisions stratégiques sont prises avec peu ou pas d’éléments de sécurité.

Bien que ce problème existe depuis des années, la sécurité reste un domaine immature dans de nombreuses entreprises. Les responsables de la sécurité doivent utiliser des données visuelles et des indicateurs de performance clés pour commencer à rendre compte de leurs opérations de manière compréhensible et significative. La budgétisation et la mesure des opérations de sécurité de manière cohérente avec les autres unités commerciales aideront les responsables de la sécurité à jouer un rôle plus important dans la stratégie et la planification de l'entreprise, tout en permettant aux entreprises de lier avec précision les investissements en matière de sécurité aux profils de risque.

En outre, être capable de parler le « langage de l’entreprise » sera le facteur le plus important pour aider les responsables de la sécurité à accéder aux postes de direction et aux conseils d’administration.