Il faut bien comprendre que la cybersécurité est un domaine complexe, et tout moyen de simplifier ses nombreux aspects en maximes courtes et faciles à retenir est toujours le bienvenu. Les cinq lois constituent un très bon point de départ pour développer un programme de sécurité solide pour son entreprise. Ces lois sont les suivantes :
- Traitez tout comme si c’était vulnérable
- Supposez que les gens ne respectent pas les règles.
- Si vous n’avez pas besoin de quelque chose, débarrassez-vous-en.
- Documentez tout et procédez à des audits réguliers.
- Prévoyez l’échec.
Bien entendu, le respect de règles réelles n’est pas nécessairement synonyme de sécurité, mais ces “lois” générales sur la cybersécurité constituent une référence utile. Toutefois, comme pour les véritables réglementations, une certaine profondeur et un certain contexte peuvent apporter une valeur significative. Dans certains cas, l’origine de ces lois non officielles peut alimenter un débat animé, même chez le praticien le plus convaincu de la cybersécurité.
Traitez tout comme si c’était vulnérable
La première règle de la cybersécurité consiste à tout traiter comme s’il était vulnérable car, bien entendu, tout est vulnérable. Tous les cours de gestion des risques, les examens de certification en matière de sécurité et les audits insistent sur le fait qu’il n’existe pas de système 100 % sûr. On peut dire que tout le domaine de la cybersécurité est fondé sur ce principe.
Étant donné que de nombreuses entreprises ne parviennent pas à satisfaire pleinement à cette norme, l’essor de la sécurité de confiance zéro est devenu la nouvelle référence en matière de pratiques matures de cybersécurité. La confiance zéro, par sa conception, refuse l’accès à tout sans vérifier son autorité. Cela ressemble à ce que vous pouvez voir dans un film d’espionnage, où l’accès à toutes les pièces nécessite une autorisation. La confiance zéro va encore plus loin, en revérifiant cette autorisation à différentes étapes d’une session. La gestion de l’accès aux identités pour les utilisateurs et les dispositifs, ainsi que des étapes telles que la vérification des mises à jour, constituent la base d’un environnement de confiance zéro. Aucun dispositif, programme ou utilisateur ne doit avoir accès à quoi que ce soit sans vérification et revalidation.
Supposer que les gens ne suivront pas les règles
Je préfère reformuler cette règle en disant “Les gens peuvent contourner les règles”, car sa formulation originale est trop accusatrice. Cet état d’esprit de contournement des règles en matière d’informatique remonte aux premiers cercles de “hackers”, qui ont vu le jour au MIT Model Railroad Club. Étant donné qu’il est souvent difficile de se conformer à certains protocoles de sécurité, les employés peuvent trouver des moyens de contourner ces protections, ce qui entraîne des vulnérabilités.
Les statistiques confirment ce principe, puisque 94 % des organisations américaines et britanniques subiront des violations de données par des initiés en 2023. De même, 84 % des responsables informatiques citent l’erreur humaine comme la cause la plus fréquente d’incidents graves. Les attaques par ingénierie sociale étant de plus en plus courantes, cette règle est devenue de plus en plus pertinente. Les mesures anti-hameçonnage, les exigences en matière de mots de passe et les règles similaires ne sont efficaces que si les gens les suivent.
Les entreprises doivent aller au-delà de la mise en œuvre de politiques de cybersécurité plus strictes. Cela signifie qu’elles doivent faire appliquer ces règles tout en facilitant leur respect à l’aide d’outils tels que les gestionnaires de mots de passe. Toutefois, comme l’indique cette loi particulière, les professionnels de la sécurité doivent comprendre que des contrôles techniques sont également nécessaires pour renforcer la sécurité. Les restrictions d’accès et autres protections similaires sont nécessaires pour limiter les violations commises par des initiés.
Si vous n’en avez pas besoin, débarrassez-vous en
La troisième loi de la cybersécurité, popularisée à l’origine comme l’une des 3 règles de sécurité en ligne de Brian Krebs, vise à minimiser les surfaces d’attaque et à maximiser la visibilité. Si Krebs ne faisait référence qu’aux logiciels installés, l’idéologie qui sous-tend cette règle s’est étendue. Par exemple, de nombreuses entreprises conservent des données, des systèmes et des appareils qu’elles n’utilisent plus ou dont elles n’ont plus besoin, en particulier lorsqu’elles évoluent, se mettent à niveau ou se développent. C’est comme cette vieille paire d’espadrilles usées qui traîne dans un placard. Cet excès peut présenter des vulnérabilités inutiles, comme un exploit vieux de plusieurs décennies découvert dans certains logiciels open source.
La plupart des entreprises n’ont qu’une visibilité d’environ 75 % sur leurs opérations de télétravail. Conserver des actifs redondants ou non pertinents empêche une visibilité à 100 %. Si elles se débarrassaient des anciens systèmes et des anciennes données, elles pourraient avoir une meilleure vision de leurs opérations, ce qui pourrait accélérer la détection des vulnérabilités et des violations.
Tout documenter et auditer régulièrement
Cette règle est en fait deux règles en une. L’optimisation de la visibilité et la découverte des vulnérabilités passent en partie par un audit interne régulier et cohérent. Pour la plupart des professionnels de la sécurité, un audit est un processus fastidieux et pénible.
Malheureusement, trop d’entreprises n’y parviennent toujours pas, ce qui fait des audits un élément indispensable de la cybersécurité. Par exemple, certains attaquants contrôlent les machines de leurs victimes pendant des mois ou des années avant que quiconque ne s’en aperçoive en raison de processus de journalisation insuffisants. Le processus d’audit devrait inclure non seulement des examens de la configuration, mais aussi des tests actifs pour vérifier les vulnérabilités non atténuées ou nouvelles.
La documentation, souvent présentée comme l’une des tâches les plus ardues de la cybersécurité, est essentielle, tant pour le personnel actuel que pour la planification de la relève. Trop souvent, les ingénieurs sont pressés de mettre un système en service et de le faire fonctionner, laissant la documentation comme un événement “après coup”.
Malheureusement, cet événement ne se produit jamais, car le travail quotidien dépasse le temps nécessaire pour documenter avec précision chaque composant d’un système complexe. La gestion du changement relève également de cet élément. Plus les entreprises enregistrent, plus il est facile de suivre et de corriger les activités suspectes et de mettre en œuvre de nouveaux systèmes.
Prévoir l’échec
La dernière loi de la cybersécurité stipule que les organisations doivent se préparer au pire. C’est peut-être plus vrai que jamais, étant donné la rapidité avec laquelle la cybercriminalité évolue. Les risques d’une exploitation de type “jour zéro” sont trop élevés pour que les entreprises puissent supposer qu’elles ne seront jamais victimes d’une violation. Heureusement, la mentalité apocalyptique qui était autrefois véhiculée par le trope “deux types d’organisations.” a été remplacée par un esprit de résilience.
Tout cela indique que les organisations doivent adopter de solides mesures préventives, ainsi que des plans de récupération détaillés. Le coût moyen d’une attaque par ransomware est sept fois plus élevé que la rançon elle-même, de sorte qu’il vaut mieux prévenir que guérir. Les entreprises doivent trouver un équilibre entre les deux pour s’assurer qu’elles sont aussi sûres que possible.
Les sauvegardes et les plans d’intervention d’urgence doivent faire partie intégrante des pratiques de sécurité de chaque entreprise. Toutefois, il est important de s’assurer qu’il s’agit bien de plans de secours et que les entreprises ne lésinent pas sur leurs défenses périmétriques.
Les 5 lois de la cybersécurité ne sont pas une liste exhaustive
On peut se demander pourquoi il est nécessaire de reformuler et de reconsidérer ces cinq règles. Tout d’abord, les cinq lois de la cybersécurité restent plus pertinentes que jamais. En outre, il est important de reconnaître que la cybersécurité n’est jamais une activité statique ou une activité “à cocher”. Les organisations doivent continuellement et soigneusement examiner et appliquer ces pratiques.
La cybercriminalité évolue en permanence et les risques sont trop importants pour négliger les vulnérabilités potentielles. Ces cinq lignes directrices sont précisément cela : des lignes directrices. Si elles nous rappellent ce que doit comprendre un plan de sécurité fiable, les organisations doivent se souvenir des détails les plus subtils et les mettre en œuvre pour rester en sécurité.