#115 Blocage et plaquage de la sécurité
Subscribe to get the latest
on 2022-12-01 00:00:00 +0000
with Darren W Pulsipher, John Evans,
Dans cet épisode, Darren parle de cybersécurité avec l'invité récurrent John Evans, conseiller en technologie en chef chez World Wide Technology (WWT).
Keywords
#cybersecurity #ransomware #userbehavioralanalytics #compliance #zerotrust #people #process #policy
Fondamentale pour toutes les autres mesures de sécurité informatique, l’hygiène de base en matière de cyber sécurité est essentielle. De nombreuses entreprises doivent mettre en place ces mesures de base. Cela est confirmé par les récents titres d’actualités qui montrent une augmentation des attaques, telles que les attaques par déni de service, qui devraient être faciles à prévenir.
D’après son expérience de travail avec la communauté étatique, John croit que la plupart des attaques suivent une chaîne d’élimination typique. La plupart des attaques visant les gouvernements locaux et nationaux proviennent de protocoles de réseau exposés ou de hameçonnage par courriel. Ceux-ci sont des points d’entrée attrayants pour les pirates informatiques, et une fois qu’ils sont à l’intérieur, de mauvaises pratiques de mise à jour sont souvent coupables et leur permettent de s’implanter et de se déplacer latéralement. Cela, combiné à des politiques de mot de passe faibles ou à un manque de respect de ces politiques, ainsi qu’une incapacité à récupérer, peut mener à une catastrophe.
Dans un incident de ransomware très médiatisé en 2019, l’organisation concernée a supposé qu’étant donné qu’ils avaient la même quantité de données dans leurs environnements de production et de sauvegarde, ils étaient en sécurité. Mais ils n’avaient jamais testé leurs sauvegardes ni leurs capacités de récupération, qui se sont révélées être médiocres. Une hygiène de base en matière de cybersécurité aurait pu prévenir cet incident.
Il y a quatre principes de base essentiels sur lesquels chaque organisation devrait se concentrer. Premièrement, elles doivent former régulièrement leur personnel afin de les sensibiliser aux escroqueries par phishing. La formation peut sembler répétitive ou ennuyeuse, mais les personnes qui tombent dans ces pièges représentent une faiblesse importante pour une organisation. Espérons qu’à l’avenir, pas trop lointain, les mots de passe ne seront plus nécessaires.
Deuxièmement, ils doivent configurer les pare-feu de manière appropriée ; le fait que les ports RTP ou les protocoles réseau soient fermés ne signifie pas qu’il n’y ait pas un port ouvert dans un endroit moins visible. La sécurité par l’obscurité ne fonctionne pas.
Troisièmement, ils doivent éviter les mauvaises politiques de correction, tant avec le client qu’avec le serveur, dans les centres de données et à l’extérieur du réseau. De nombreuses organisations sont endettées sur le plan technique et ne peuvent pas mettre à jour leurs anciens systèmes, elles acceptent donc les vulnérabilités et les risques car elles ne veulent pas investir dans une mise à jour.
Quatrièmement, ils doivent avoir la capacité de récupération. Juste parce que vous savez que vous pouvez sauvegarder vos données, pouvez-vous les utiliser et récupérer avec la sauvegarde? Les tests sont essentiels.
Ces quatre bases, ainsi que quelques autres, suffisent à contrer presque toutes les attaques visant des organisations qui ne sont pas des cibles régulières. Ce modèle ne s’applique pas aux organisations touchées par des attaques étatiques ; elles mettent déjà en place toutes ces mesures et ont besoin de mesures de sécurité supplémentaires.
Une considération importante pour de nombreuses organisations est la conformité par rapport au risque. Pour certaines organisations, afin d’être conformes, elles doivent mettre à niveau leurs anciennes machines, applications et processus, ce qui engendre des coûts importants. Pour les organisations dont le système ne peut pas être corrigé, elles pourraient adopter une approche basée sur le risque, en considérant que si quelque chose arrivait au système, cela coûterait moins cher que de le mettre à niveau. Bien sûr, la chose la plus sûre à faire serait de se conformer, mais la plupart des gens pensent que l’approche basée sur le risque est plus sécurisée. Une petite entreprise pourrait s’en tirer avec cette approche, mais les organisations gouvernementales, par exemple, doivent respecter des réglementations de conformité.
Il existe deux raisons pour lesquelles une organisation pourrait choisir de se conformer, en dehors d’une obligation. Premièrement, c’est une solution facile pour de nombreuses organisations qui ne comprennent pas comment mesurer ou hiérarchiser les risques. La conformité est un cadre général sur lequel s’appuyer. Cependant, il ne s’agit pas d’une solution unique, car quelqu’un d’autre hiérarchise les risques de manière générale. Deuxièmement, si quelque chose de terrible se produit et que vous devez, par exemple, l’expliquer à votre conseil d’administration, vous pouvez dire que vous avez suivi des normes acceptées.
La conformité est un peu une mentalité béquille car vous n’avez pas à effectuer toutes les évaluations des risques et à déterminer ce qui doit être fait. Cependant, par exemple, une petite municipalité sans CISO pourrait demander à un administrateur système d’utiliser un cadre de conformité comme point de départ solide. Si aucun CISO n’est disponible, il est également possible de faire appel à un CISO virtuel à temps partiel pour obtenir des conseils. John le fait pour ses clients, ce qui constitue une voie viable vers une meilleure sécurité.
Le concept de la confiance zéro prend également en compte un niveau d’assurance par rapport au risque. Vous devez comprendre le risque d’accorder à quelqu’un l’accès à un système particulier ou à une donnée, puis avoir une assurance proportionnelle que la personne est bien celle qu’elle prétend être. Le cœur de la confiance zéro repose sur un niveau élevé de sécurité qui atténue le risque.
La confiance zéro ne signifie pas que tout sera verrouillé et ralentira tous les processus. Par exemple, si quelqu’un veut accéder aux niveaux de précipitations, vous n’avez pas besoin d’un niveau élevé d’assurance que la personne est vérifiée. Cependant, si quelqu’un souhaite accéder aux joyaux de la couronne de votre organisation, des contrôles supplémentaires doivent être mis en place pour vérifier son identité.
Correspondre le niveau d’assurance au niveau de risque est un défi; cela nécessite une architecture de point de décision. Dans l’exemple du risque lié à l’accès à une donnée, une organisation doit savoir quoi et le classer en fonction du risque. Pour une organisation mature, cela peut être difficile. John connaît une organisation gouvernementale fédérale qui a passé plus de deux ans à s’assurer que ses données étaient identifiées, classifiées et étiquetées correctement avant de passer à un type d’architecture de point de décision quelconque.
L’identité et les données sont les deux points de départ de la confiance zéro. De plus, il est logique d’éviter d’essayer et de tout faire en une seule fois. Commencer par une partie de l’organisation peut être la solution la plus sensée, en l’étendant progressivement au reste de l’organisation avec le temps.
L’identité numérique se complexifie de plus en plus. John croit que nos transactions futures seront principalement basées sur une approche de type “zéro confiance”. Par exemple, s’il souhaite transférer 10 000 dollars de sa banque vers un compte offshore, la banque devrait s’assurer qu’il s’agit bien de lui et traiter cette transaction comme si quelqu’un tentait d’accéder à une information très sensible à haut risque. En revanche, s’il va au magasin pour acheter une tasse de café à un dollar, ce niveau d’assurance n’est pas nécessaire pour confirmer que c’est bien lui qui fait cet achat. Beaucoup de ces principes de “zéro confiance” feront leur apparition dans notre vie quotidienne.
Les analyses comportementales des utilisateurs entreront également en jeu. Tout comme une société de cartes de crédit soulèvera un drapeau pour des achats inhabituels, par exemple, si un système sait que John tape 20 mots par minute, et tout à coup, il tape 100 mots par minute et essaie d’accéder à des informations sensibles, c’est un signal d’alerte.