De la nécessité de créer une culture de la sécurité pour prévenir les cyberattaques
Amy Herzog, Pivotal

• Print
• Twitter
• Linkedin

Les stratégies de cybersécurité sont essentielles à la protection des ressources clés de l’entreprise. La cybersécurité exige une vision à long terme et une vigilance de tous les instants. S’il n’existe pas de solution miracle, une entreprise peut en revanche suivre un certain nombre de principes pour relever le défi de la sécurité.

Identifier les risques les plus critiques

La sécurité est un terme qui revêt différentes significations, si bien qu’il n’existe pas de réponse universelle. Selon le contexte, « cybersécurité » peut désigner des concepts fondamentaux (intégrité, authentification, confidentialité), des domaines d’expertise plus généraux (sécurité réseau, protection des informations, reprise d’activité), des types d’attaques spécifiques (exfiltration de données, déni de service), ou encore des pratiques et produits liés à tous les éléments susmentionnés.

Malgré la complexité du terme, les entreprises doivent avoir une vision claire de leurs pratiques et des besoins spécifiques. La cybersécurité est une guerre asymétrique : un hacker déterminé et bien financé n’a besoin que d’une simple vulnérabilité de l’entreprise pour la remporter. C’est pourquoi aucune entreprise n’est à l’abri, ce qui n’a rien de rassurant.

Bien sûr, on ne demande pas à une entreprise d’être parfaite. Contrairement à l’idée reçue, les cybercriminels ne sont pas omniprésents et ne frappent pas sans discernement. Ils manquent souvent de ressources et ciblent un objectif précis. Pour déterminer les besoins spécifiques d’une entreprise en matière de cybersécurité, il est indispensable de se poser les questions suivantes :

• Quels sont les objectifs et niveaux de ressources d’un cybercriminel probable ?
• De quel degré de protection avez-vous besoin ?
• Où en avez-vous besoin ?

L’opération consistant à déterminer les ressources les plus importantes d’une entreprise et la meilleure façon de les protéger est appelée « analyse des joyaux de la couronne ». Elle peut être menée de manière procédurale ou ad hoc, que ce soit en interne ou avec l’aide d’un sous-traitant externe. Dans tous les cas, lors de l’analyse, la priorité doit être donnée aux objectifs stratégiques.

Rendre l’entreprise moins attractive pour les hackers

En matière de cybersécurité, l’argent est le nerf de la guerre. Les plus grands génies au monde n’empêcheront pas une entreprise d’être prise pour cible dès lors qu’il s’agit de la moins onéreuse à attaquer. Une entreprise soucieuse de la sécurité élaborera par conséquent une stratégie de cybersécurité visant à accroître les coûts pour le cybercriminel, ce qui l’encouragera à aller voir ailleurs.

Imaginons deux entreprises :

– L’entreprise A dispose d’une équipe composée de 5 super-experts en cybersécurité qui effectuent quelques opérations de surveillance avancées et personnalisées. Chaque groupe gère ses propres correctifs, sachant que de nombreux systèmes sont obsolètes sur le réseau de l’entreprise.

– L’entreprise B utilise quant à elle des outils de surveillance standard, mais applique quotidiennement de nouveaux correctifs à chaque machine sur le réseau (et procède à une analyse régulière afin d’identifier toutes les machines connectées à son réseau).

D’après vous, quelle est la cible la plus intéressante pour un cybercriminel lambda ?

Intégrer des méthodologies agiles aux politiques de sécurité

Vous pouvez facilement mettre en œuvre les meilleures pratiques de cybersécurité employées par l’entreprise B en utilisant un environnement cloud-native pour les applications. Vous bénéficiez ainsi de services de sécurité fondamentaux moyennant des frais mensuels minimes. Une plate-forme de services unifiée assure une configuration sécurisée des systèmes, l’installation des correctifs et une gestion de base des codes secrets. Pour les grandes entreprises présentant un risque accru, la virtualisation offerte par une infrastructure cloud-native optimise considérablement ces pratiques. La séparation des systèmes, la gestion automatisée de la configuration de la sécurité et les environnements éphémères sont de parfaits exemples des fonctions de sécurité intrinsèques des systèmes virtualisés.

Pour les entreprises présentant des profils à très haut risque, la mise en place d’environnements virtuels personnalisés peut fournir des fonctions de surveillance encore plus avancées. Mais dépasser les meilleures pratiques du secteur exige une étape supplémentaire.

Tirer parti des équipes IT et de l’esprit collaboratif de l’entreprise

Les équipes IT doivent dès le départ prendre part aux processus de développement. Vous vous épargnez ainsi bien des risques que des efforts inutiles. Cette approche transforme la façon dont tous les employés, quelle que soit leur fonction, collaborent avec les équipes IT.

Au niveau de la direction, les responsables IT doivent être impliqués dans les nouvelles opportunités commerciales. Ils seront à même d’identifier très tôt les risques systémiques et/ou liés au marché. Pour une gamme de produits donnée, les architectes et cadres supérieurs peuvent collaborer avec les équipes IT afin de déterminer à l’avance les exigences à remplir en matière de certification et d’accréditation. Au niveau du produit, il existe un ensemble de plus en plus robuste de mesures de sécurité automatisées que les développeurs et les responsables produits peuvent intégrer à leurs activités quotidiennes. Des pratiques de codage sécurisées de base constituent un bon point de départ, tandis que l’introduction de tests de sécurité dans les cycles de développement pilotés par des tests offre des garanties de sécurité lors de la modification du code. Enfin, la mise en œuvre de pipelines d’intégration et de livraison continues (CI/CD) prévisibles et reproductibles permet d’identifier toute conséquence imprévue suffisamment tôt pour y remédier facilement.

Les entreprises doivent exploiter la créativité de leurs équipes IT et les impliquer dans toutes les étapes, de la conception initiale à la livraison du produit. Une telle démarche réduit les risques et les efforts.

Nul besoin de viser la perfection

La cybersécurité est une mission qui peut sembler difficile, voire impossible, à réaliser. La pression est grande : on attend de vous une perfection impossible à atteindre. Vous devez traiter toutes les ressources de votre entreprise comme s’il s’agissait des « joyaux de la couronne », ce qui est irréaliste. Et vous devez vous concentrer sur des scénarios exaltants, mais peu vraisemblables, au lieu de veiller à ce que les machines connectées au réseau soient à jour des correctifs.

La bonne nouvelle est qu’une entreprise n’a pas besoin d’être parfaite pour remporter la bataille économique autour de la cybersécurité. Il lui suffit juste d’être plus complexe et plus coûteuse à attaquer que ses pairs. Un problème beaucoup plus simple à régler. Vous avez identifié les principaux risques pour votre entreprise, maîtrisez les meilleures pratiques et faites appel à votre équipe IT de manière proactive ? Alors vous disposez déjà d’un formidable avantage dans un combat qui s’annonce très serré.

 

________
Amy Herzog est Directrice de l’innovation chez Pivotal. Spécialiste des questions liées à la cybersécurité