Tout récemment, on m’a demandé d’imaginer que j’avais été approuvé une heure par les plus hautes autorités de la société de cybersécurité et de sécurité des infrastructures (CISA) – quels conseils pourrais-je donner pour l’aider à avoir un effet encore plus important dans 2023 et au-delà ?
Ce n’est qu’en 2018 que le gouvernement américain a créé la CISA sous les auspices du Department of Homeland Security. En seulement quelques années, ses habitants ont fait un travail admirable. La qualité du contenu publié par CISA est régulièrement supérieure, qu’il s’agisse d’avis, d’infographies ou de vidéos. Ses versions sont académiques, disponibles et rapides – essentielles dans un domaine en évolution rapide comme la cybersécurité.
Une autre force réside dans les panneaux techniques que l’entreprise fournit pour aider les praticiens de la sécurité de première ligne à utiliser leurs outils, pour attraper les cambrioleurs en flagrant délit ou les empêcher d’entrer en première position.
Cependant, à mesure que la variété des cyberattaques continue de croître et de devenir plus complexe, CISA peut s’appuyer sur ce succès et faire encore mieux. Parce que l’esprit, je fournirais ces recommandations lors de ma rencontre imaginaire avec les autorités de la CISA.
Mettre à niveau le cadre de cybersécurité et mesurer le développement
De mon point de vue, l’agence pourrait collaborer avec le NIST pour mettre à jour la structure de cybersécurité qu’elle a publiée en 2014 et mise à jour en 2018 – ce que les individus décrivent comme le NIST Cybersecurity Framework (CSF) version 1.0. L’original aborde chaque organisation ou entreprise comme un monolithe. Le Department of Homeland Security a par la suite fourni des conseils de mise en œuvre spécifiques à l’industrie.
Dans une mise à jour, CISA et NIST doivent reconnaître le fait qu’une organisation est composée d’une partie comprenant le réseau, le cloud, le mobile et de nombreux terminaux (et donc de nombreuses vulnérabilités potentielles distinctes). La version 2.0 de la structure permettrait aux organisations de mieux s’occuper des problèmes de sécurité disparates inhérents à chacun de ces aspects.
Je recommanderais également d’ajouter un outil de mesure qui aide une entreprise à comprendre où elle se situe par rapport aux meilleures pratiques énoncées dans la structure de cybersécurité. Les prescriptions que le cabinet énonce sont généralement simples et directes. Mais je conseillerais quelque chose comme une barre de progression qui montre à une entreprise si elle est à 20 % du chemin vers les meilleures pratiques prescrites ou à 60 %.
Dans un monde où les organisations doivent prendre des décisions concernant le risque de service, savoir ce qui est excellent, meilleur ou meilleur peut être vraiment utile. Avec les cybermenaces et les meilleures pratiques de sécurité recommandées en constante évolution, aucune entreprise ne peut jamais être entièrement capturée. Et pourtant, voir son statut sur une échelle de maturité et d’adhésion aiderait une organisation à mieux comprendre ses vulnérabilités et ses principales priorités.
Construire le nom de la marque et élargir l’orientation
Le marketing est un autre domaine Je soulèverais dans ma conférence envisagée. Tout le monde dans le domaine de la sécurité est aux prises avec un flot de matériel et un barrage illimité de nouvelles et de publications sur les dangers. Les produits CISA sont excellents pour couper le son. Et pourtant, trop peu d’entreprises et d’organisations voient ce que CISA produit et suivent ses précieux conseils.
J’aimerais informer les autorités CISA : vos produits font partie de vos grandes forces, mais il y a place à l’amélioration pour atteindre un public plus large.
L’agence a également besoin d’élargir son champ d’action. Désormais, CISA se concentre sur 3 publics principaux :
1. Tous les niveaux de gouvernement fédéral
2. Grandes entreprises
3. Infrastructures cruciales (telles que le réseau électrique et les systèmes d’approvisionnement en eau du pays)
Pour les professionnels de la sécurité travaillant dans ces trois endroits cruciaux , CISA fait un excellent travail en publiant des avis et des produits de soutien. Et naturellement, CISA, dans ses premières années, devait établir des priorités absolues alors que ses employés construisaient une toute nouvelle entité.
Il est maintenant temps d’élargir l’objectif et de créer la capacité de soutenir les services et les organisations de taille moyenne et petite, qui sont tout aussi sensibles que leurs homologues plus grands et qui ont souvent des besoins d’assistance encore plus élevés.
Je reconnais que la CISA peut faire tellement avec l’argent que le Congrès lui accorde, mais le récent contrat de dépenses omnibus désignant un budget de 2,9 milliards de dollars pour 2023 est une action dans la bonne direction. Cette année, cela pourrait impliquer un élargissement pour inclure des entités de taille moyenne qui utilisent jusqu’à 500 personnes. Après cela, si les fonds fédéraux le souhaitent, les autorités de la CISA pourraient relever le défi d’atteindre les petites entreprises.
Un partage plus complet peut favoriser la confiance
CISA doit faire partie d’un service qui aide à obtenir plus d’informations auprès des entreprises qui ont subi une violation. Certaines invasions nécessitent une entreprise pour alerter le public, mais beaucoup ne le font pas, ce qui a en fait suggéré une incohérence dans le signalement des vulnérabilités. Il est dans l’intérêt public d’avoir un ensemble plus cohérent de règles de déclaration et un mécanisme en place pour gérer ces informations. Plus les individus obtiennent les renseignements rapidement, moins l’impact d’une attaque est grave.
Certains soutiennent que la CISA devrait réduire la limite pour le signalement nécessaire d’un événement cybernétique. Je ne pense pas que nous en soyons à ce stade, du moins pas encore pour les violations qui ne compromettent pas les informations individuelles des clients. Au départ, il y a la question de savoir ce que le gouvernement ferait avec ces données autodéclarées.
La clé pour CISA est d’établir la confiance. Cela suggère de clarifier la manière dont les informations partagées par une entreprise seraient utilisées, ainsi que la manière dont elles seraient protégées, afin d’éviter l’idée préconçue de la honte publique. Promettez la confidentialité pour des cas de signalement spécifiques si c’est ce qu’il faut.
Il est également possible de mettre en évidence des histoires favorables pour contrer la morosité qui marque la plupart des protections de sécurité dans les médias. Plus souvent que le public ne le sait ou ne l’entend, une organisation repousse efficacement et réduit les effets d’un cambrioleur grâce aux systèmes de sécurité qu’elle a mis en place. Ces histoires de héros attirent l’attention, et CISA pourrait aider à les promouvoir – encore une fois, même avec l’anonymat – de peur que la victime potentielle vantarde n’invite des attaques supplémentaires.
Mais quelles que soient les actions qu’elle entreprendra en 2023, J’anticipe l’excellence continue de CISA dans ses points forts, partageant les détails et les meilleures pratiques.
Les attaquants continueront d’utiliser les mouvements qui fonctionnent, comme les attaques de phishing et les ransomwares. Et pourquoi pas? Je le compare au basket-ball, où essayer 3 lignes directrices loin du bord n’a guère de sens lorsqu’un joueur peut marquer régulièrement en prenant les lay-ups simples. Il incombe aux entreprises cruciales comme CISA de faire tout ce qui est en leur pouvoir pour aider les entreprises à s’assurer qu’elles sont préparées au mieux pour la prochaine attaque.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
