Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Conformité minimale viable : ce dont vous devriez vous soucier et pourquoi

Republié par Platon
Republié par Platon

Date :

Vues: 70

Dans le domaine de la sécurité informatique, nous devons nous soucier de tout. Tout problème, aussi petit soit-il, peut devenir le moyen d’exécuter du code à distance ou, à tout le moins, un point d’atterrissage permettant aux acteurs malveillants de vivre de la terre et de retourner leurs propres outils contre nous. Il n'est pas surprenant que le personnel de sécurité informatique soit confronté à l'épuisement professionnel et au stress. Selon recherche réalisée par Enterprise Strategy Group et ISSA, environ la moitié des professionnels de la sécurité informatique pensent qu'ils quitteront leur emploi actuel dans les 12 prochains mois.

Les équipes de sécurité sont professionnellement responsables – et désormais, pour les responsables de la sécurité de l'information (RSSI), personnellement responsable — pour la sécurité de leurs organisations. Pourtant, dans d’autres domaines de l’informatique et de la technologie, la mentalité est complètement différente. Extrait du mantra de Mark Zuckerberg : «aller vite et casser des choses» jusqu'à Eric Ries Démarrage Lean et le modèle de produit minimum viable (MVP), l'idée dans ces domaines est d'agir rapidement mais aussi de fournir juste ce qu'il faut pour que l'organisation puisse avancer et s'améliorer.

Désormais, les équipes de sécurité informatique ne peuvent plus adopter ce modèle. Il y a trop de réglementations à prendre en compte. Mais que pouvons-nous apprendre d’un exercice mental autour de la conformité minimale viable (MVC), et comment pouvons-nous utiliser ces informations pour nous aider dans notre approche ?

Qu’impliquerait MVC ?

MVC implique de couvrir ce qui est nécessaire pour être efficacement sécurisé. Pour y parvenir, vous devez comprendre ce que vous avez en place et ce qu'il est essentiel de maintenir en sécurité, ainsi que les règles ou réglementations auxquelles vous devez démontrer que vous vous conformez.

Pour la gestion des actifs, idéalement, vous devez connaître tous les actifs que vous avez installés. Sans ce niveau de surveillance, comment pouvez-vous vous considérer en sécurité ? Pour une approche MVC, auriez-vous besoin d’un aperçu à 100 % de ce dont vous disposez ?

En réalité, les projets de gestion d'actifs comme les bases de données de gestion de configuration (CMDB) visent à fournir visibilité complète sur les actifs informatiques, mais ils ne sont jamais précis à 100 %. Dans le passé, la précision des actifs oscillait autour de 70 à 80 %, et même les meilleurs déploiements actuels ne sont pas en mesure d'obtenir une visibilité complète et de la conserver. Alors, devrions-nous consacrer notre budget MVC à ce domaine ? Oui, mais pas tout à fait comme on pourrait le penser traditionnellement.

Un RSSI adjoint m'a dit qu'il comprenait l'idéal d'une couverture complète, mais que ce n'était pas possible ; il se soucie plutôt d'une visibilité complète et continue de l'infrastructure critique de l'organisation (environ 2.5 % du total des actifs), tandis que les autres charges de travail sont suivies aussi fréquemment que possible. Ainsi, même si la visibilité reste un élément nécessaire pour les programmes de sécurité informatique, les efforts doivent être axés en priorité sur la protection des actifs les plus risqués. Cependant, il s’agit d’un objectif à court terme, car il suffit d’une seule divulgation de vulnérabilité pour qu’un actif à faible risque devienne un actif à haut risque. Lors de ce processus, ne confondez pas conformité et sécurité : ce n’est pas la même chose. Une entreprise conforme n’est peut-être pas sécurisée.

Planification de la régulation

Dans le cadre de MVC, nous devons réfléchir aux réglementations et à la manière de les respecter. Le défi pour les équipes de sécurité est de savoir comment anticiper ces règles. L'approche typique consiste à introduire la législation, puis à voir où elle s'applique à nos applications, puis à apporter les modifications nécessaires aux systèmes. Cependant, il peut s’agir d’une approche très ponctuelle qui implique des changements – et donc des dépenses – à chaque fois qu’une nouvelle réglementation est introduite ou qu’un changement important a lieu.

Comment faciliter ce processus pour nos équipes ? Plutôt que d’examiner chaque réglementation séparément, pouvons-nous examiner ce qui est commun aux réglementations applicables, puis utiliser cela pour réduire la quantité de travail requise pour les respecter toutes ? Plutôt que de soumettre l'équipe à de vastes exercices pour mettre les systèmes en conformité, que pouvons-nous soit retirer du champ d'application, soit utiliser comme service pour fournir l'infrastructure de manière sécurisée ? De même, pouvons-nous utiliser les meilleures pratiques courantes telles que les contrôles cloud pour éliminer des ensembles entiers de problèmes, plutôt que d’examiner chaque problème individuellement ?

Au cœur de cette approche, nous devons réduire les frais généraux liés à la sécurité et nous concentrer sur ce qui représente les plus grands risques pour nos entreprises. Plutôt que de penser à des technologies spécifiques, nous pouvons examiner ces problèmes comme des problèmes de processus et de personnes, car les réglementations évolueront et changeront toujours à mesure que le marché évolue. Adopter cet état d'esprit facilite la planification de la sécurité, car elle ne s'enlise pas dans certains détails qui peuvent nuire à nos équipes lorsque les processus ont été conçus pour examiner les CVE et les données sur les menaces plutôt que dans des termes de risques pratiques autour de ce qui constitue réellement un problème.

L’idée de faire le minimum requis pour répondre aux demandes du marché ou adopter un ensemble de règles pourrait être séduisante à première vue. Mais l’état d’esprit du MVP ne consiste pas seulement à atteindre un niveau spécifique puis à s’y installer. Il s’agit plutôt d’atteindre cette norme minimale, puis d’itérer aussi vite que possible pour améliorer encore la situation. Pour les équipes de sécurité, cet état d’esprit d’amélioration continue et de recherche de moyens de réduire les risques peut constituer une alternative utile au modèle de sécurité informatique traditionnel. En vous concentrant sur les améliorations qui auraient le plus grand impact sur les risques dans les plus brefs délais, vous pouvez augmenter votre efficacité et réduire les risques en général.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.