Les standards de sécurité sont un moyen d’améliorer votre système d’information et de faire reposer votre cyber-résilience sur des piliers solides et reconnus.

Si nous tentions de faire le bilan de 2022, il serait aisément garni de rebondissements forts en termes de cybersécurité. Les attaques par rançongiciels se sont stabilisées sur cette fin d’année à un niveau particulièrement élevé – notamment grâce à l’émergence des marketplaces de cybercriminels (Rançongiciel-as-a-Service ou RaaS). Les institutions publiques sont visées par des groupes d’hacktivistes – dans un but purement géopolitique, tout comme les institutions privées, qui ne sont pas mises de côté. Et 2023 ne devrait pas être bien différent.

Il est sûr que les entreprises et institutions continueront d’investir dans des moyens et des solutions de cybersécurité pour garantir la sécurité de leurs données – or noir du siècle en cours. Mais investir dans les bonnes solutions, c’est mieux ! Découvrez les standards de sécurité, un outil essentiel pour l’amélioration de votre Système d’Information.

Qu’est-ce qu’un standard de sécurité ?

L’objectif d’un standard de sécurité est de mutualiser les connaissances et faciliter l’accès à l’expertise de sécurité. Internet est une base de connaissances inépuisable, cependant, il est parfois compliqué de séparer le vrai du faux, l’utile de l’accessoire. C’est à ce moment qu’intervient le standard de sécurité.

Il se présente sous la forme d’une liste de tâches à effectuer, généralement un tableau d’une centaine de lignes qui renvoie vers d’autres documents ou des liens Internet. Chaque tâche représente une mesure qui doit être mise en place pour améliorer considérablement le niveau de sécurité de son système.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le Center for Internet Security (CIS) et bien d’autres agences gouvernementales proposent des guides de sécurisations poussés. Néanmoins, ces derniers sont complexes, volumineux et, donc, difficilement exploitables par des administrateurs systèmes et réseaux généralistes.

Qu’apporte la mise en place d’un standard de sécurité ?

Équipe IT de petites, moyennes ou grandes entreprises… les standards de sécurité sont faits pour vous ! En effet, les PME ou ETI n’ont pas toujours un budget suffisant pour disposer d’une équipe IT dédiée à la cybersécurité. Allouer du budget à la cybersécurité n’est pas non plus un automatisme. Pourtant, ces entreprises ne sont pas oubliées par les attaquants. Les standards de sécurité ont été conçus, testés puis validés par des experts en cybersécurité. Ils permettent ainsi d’économiser – pour les entreprises et organisations, des dizaines de jours sur la recherche des mesures de sécurité à mettre en place.

Pour les PME et ETI, c’est un gain sûr de temps, d’argent et de ressources. Tout en apportant une amélioration conséquente du niveau de sécurité.

Pour les grandes entreprises, où les moyens sont logiquement plus importants, l’amélioration de la cybersécurité est souvent un objectif stratégique bien établi – avec des équipes IT en place dédiées à la cybersécurité. Dans ce type de société, les différents SI sont gérés par différentes entités, et par différentes équipes.

Cela entraîne une grande disparité de configurations entre les différentes branches de cette même société. Ce défaut rend, ainsi, difficile la maintenance et la mise en conformité générale de l’entreprise. Les standards de sécurité permettent alors à ces entreprises, d’uniformiser, de standardiser les configurations et donc d’améliorer le niveau global de la sécurité de l’entreprise.

Quand le standard de sécurité va plus loin et plus vite !

Un standard de sécurité, quelle qu’en soit la technologie visée, est un recueil de dizaines, parfois même de centaines de règles. Centraliser les différentes sources permet d’accélérer l’accès vers la connaissance. Néanmoins, l’application des mesures décrites dans le standard reste un travail fastidieux. C’est pour répondre à cette problématique que de nombreux experts ont cherché et proposent aujourd’hui des solutions pour automatiser le déploiement de ces mesures de sécurité.

L’outil Harden AD, développé par la communauté Harden (association loi 1901 à but non lucratif), permet – par exemple – d’accélérer le déploiement du standard de sécurité Active Directory (AD) à l’aide de script PowerShell et de fichiers de configuration XML.

Ainsi, la mise en place des mesures de sécurité est automatisée et personnalisable – via le fichier de configuration XML – pour répondre aux besoins de chaque entreprise.

Prêt pour déployer les standards de sécurité ?

2023 devrait être une année tout aussi mouvementée pour les entreprises, face aux cyberattaques et à la multiplication des solutions de sécurité proposées sur le marché. Afin de se préparer, petites comme grandes entreprises pourraient s’orienter vers le déploiement d’un modèle de sécurité standardisé.

Alors en ce début d’année, pourquoi ne pas se renseigner sur les différents standards disponibles et préparer leurs intégrations au cours des douze prochains mois ?
___________________

par Quentin Mallet, consultant Sécurité Opérationnelle chez Synetis

 

À lire également :

Le système d’évaluation des vulnérabilités « CVSS » – quelles vulnérabilités à prioriser ?

Concilier Open Source et édition de logiciel : le modèle gagnant

Accès sécurisé aux Mainframes : guide des bonnes pratiques.

L’identité numérique eIDAS : un futur standard pour l’Europe, un modèle pour le monde.

IA, Cybersécurité et Télétravail : la tri-force de l’année!