Crédit : Image de krakenimages sur Unsplash
Quelques-unes des violations les plus importantes sont survenues jusqu’à de petites erreurs.
Les pirates ont utilisé un mot de passe compromis pour accéder au réseau de l’entreprise via un réseau privé virtuel lors de l’attaque du pipeline colonial de mai 2021. Une vulnérabilité largement connue qui n’avait pas encore été couverte était le point d’entrée de l’attaque d’Equifax en 2017. Et une arnaque de bitcoins sur Twitter a commencé avec des attaques de spear phishing sur les employés de Twitter.
Naturellement, il n’y a pas de programme de sécurité idéal, mais de tels événements montrent que les groupes de cybersécurité ne peuvent pas payer pour ignorer quoi que ce soit.
Ici, les responsables de la sécurité mettent en garde contre 8 risques faciles à ignorer qui peuvent affaiblir une sécurité par ailleurs efficace technique :
- Parler de risque pour la sécurité, plutôt que de danger pour l’entreprise
- Mettre l’accent sur la conformité
- Ne pas aller vite (assez)
- Toujours se concentrer sur l’immédiat
- Se concentrer excessivement sur les outils et les innovations plutôt que sur les parties prenantes et leurs besoins
Parler du risque de sécurité, plutôt que risque de service
La cybersécurité a fini par être un sujet de préoccupation au niveau du conseil d’administration, mais fréquemment, les RSSI, ainsi que leurs collègues de la suite C, continuent de positionner la sécurité comme un problème d’innovation plutôt que comme une menace commerciale, déclare Niel Harpiste, RSSI pour le Bureau des Nations Unies pour les fournisseurs de projets (UNOPS) et membre du conseil d’administration de l’association de gouvernance informatique ISACA.
Cela peut sembler de la pure sémantique, mais Harper déclare qu’il y a certainement des conséquences défavorables lorsque les chefs d’entreprise voient la cybersécurité si directement.
« Quand ils ne voient pas la sécurité des détails comme un danger pour le service, lorsqu’ils ne la voient que comme une menace pour l’innovation, alors ils ne voient pas comment elle est pleinement intégrée dans tous les aspects de l’entreprise » il décrit. « En conséquence, les RSSI n’ont pas une place à part entière à la table ; ils ne rendent pas compte à un exécutif et plutôt ils rapportent deux ou trois niveaux plus bas. Et ils n’ont pas la contribution à la méthode au niveau exécutif. «
Harper déclare qu’il a en fait vu les RSSI renverser la vapeur en développant des relations avec les parties prenantes ; ils s’engagent avec eux pour comprendre leurs dangers en plus de leurs objectifs et ensuite leur montrer comment les plans de sécurité abordent ces deux points.
Mettre l’accent sur la conformité
L’organisation type doit satisfaire de nombreux marchés, normes réglementaires et juridiques pour fonctionner. Les plus connues d’entre elles sont les exigences de sécurité des données du marché des cartes de paiement, ou PCI DSS, pour les organisations qui traitent les cartes de crédit ; la loi américaine sur la mobilité et la responsabilité en matière d’assurance médicale, ou HIPAA, pour toute personne manipulant des dossiers médicaux ; et la directive générale sur la défense des données (RGPD) de l’Union européenne. Il existe également des exigences et des structures spécifiques à la sécurité, telles que la norme ISO/IEC 27001.
Les RSSI ne peuvent pas négliger les normes de conformité qu’ils doivent respecter, mais ni eux ni leurs collègues de direction ne doivent présumer que la conférence est requise. les normes valident qu’elles sont sûres et sécurisées, déclare Harper.
« La conformité fournit un sentiment de sécurité incorrect », ajoute-t-il. « En vérité, les violations augmentent indépendamment du respect de la conformité dans de nombreuses organisations. »
Harper ne néglige pas l’importance des normes de conformité, mais il déclare que les RSSI devraient constamment s’en souvenir et faire participer les autres C-suite pour comprendre : ces exigences ne sont pas dynamiques et peuvent donc ne pas faire face aux risques émergents ou déterminer avec précision l’état de préparation d’une organisation à mesure que ses circonstances (c.> « Il s’agit d’un exercice de type « cocher la case » et ils ne donnent pas vraiment aux entreprises une image réelle de leurs risques et expositions », dit-il.
Arrêter de travailler pour agir rapidement ( assez)
Les entreprises accélèrent leurs améliorations numériques avec des migrations vers le cloud, une évolution des applications logicielles plus agile et des réponses rapides aux besoins des clients. Tous les RSSI ne suivent pas le rythme et cela a entraîné des lacunes dans la posture de sécurité globale de l’entreprise, selon plusieurs conseillers en sécurité.
Les équipes d’entreprise révèlent des préoccupations comparables. Prenons, par exemple, les conclusions de la dernière étude Global DevSecOps de GitLab, lancée en mai 2021. Quelque 84 % des 4 300 concepteurs ayant répondu ont déclaré qu’ils publiaient le code plus rapidement que jamais dans le passé, mais près de la moitié (42 %) ont déclaré que le filtrage de sécurité avait lieu trop tard au même moment, et presque le même pourcentage a déclaré qu’il était difficile d’identifier et de corriger les vulnérabilités. 37% ont déclaré qu’il était difficile de suivre l’état des correctifs de bogues et 33% ont découvert que la priorisation des suppressions était difficile.
« La sécurité nécessite d’être plus agile et les RSSI doivent essentiellement croire d’une manière différente sur leur approche. cybersécurité », déclare Tony Velleca, RSSI d’UST et PDG de CyberProof, une entreprise d’UST.
Un certain nombre de RSSI semblent comprendre ce message. Le rapport GitLab a révélé que 70 pour cent des groupes ont déplacé les facteurs de sécurité à prendre en compte plus tôt dans le développement, suite à la poussée de « décaler à gauche ». Il s’agit d’une légère augmentation par rapport à l’année précédente, lorsque 65 % d’entre eux ont déclaré avoir déjà intégré la sécurité dans le processus.
Toujours se concentrer sur l’immédiat
Parmi les plus grands dangers pour un programme de sécurité efficace, il y a être pris au piège par « la tyrannie de l’urgence », déclare Andrew Morrison, directeur chez Deloitte et responsable de la stratégie, de la défense et de l’action des services de cyberdanger de l’entreprise.
Il dit que les RSSI et leurs équipes peuvent devenir tellement absorbés par la gestion les besoins les plus instantanés auxquels ils sont confrontés – même s’il s’agit de problèmes de bas niveau – qu’ils n’ont pas la capacité de gérer les priorités tactiques ; ils passent leurs journées à courir après ces petits problèmes qui apparaissent plutôt à renforcer la sécurité des composants les plus importants de l’organisation.
« C’est alors que la sécurité cesse d’être un programme, et c’est simplement une réaction tactique à ce qui se passe. L’immédiat remplace ce qui est nécessaire », ajoute Morrison.
Bien qu’il soit difficile de libérer une équipe de sécurité d’un tel scénario, Morrison affirme que les RSSI peuvent le faire en reconnaissant les meilleurs risques et en se concentrant sur les contrer, donc en alignant la sécurité gérer les priorités de l’entreprise. Cela leur permettra, ainsi qu’à leurs équipes, de devenir moins réactifs et plus tactiques dans la façon dont ils gèrent les problèmes qui se présentent. « Ils gèrent alors les occasions, pas seulement y réagissent », explique Morrison.
Se concentrer trop sur les outils et les technologies plutôt que sur les parties prenantes et leurs exigences
Sur une note comparable, Jinan Budge, analyste principal chez Forrester, déclare que cesser de travailler pour prioriser l’engagement des parties prenantes peut entraver l’exécution d’un programme de sécurité solide.
En savoir plus sur le page suivante …
Page
- 1
- 2
- suivant
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
