La normalisation des données de cybersécurité est en route avec l’OCSF. Mais ce dernier mettra du temps à se concrétiser. Pour s’y préparer en attendant, il est l’heure d’un grand ménage, même si le printemps est encore loin…
Si vous êtes un responsable de sécurité du système d’information (RSSI) confronté à l’intégration de la sécurité en mode « Business As Usual » (BAU) ou « Security by design », vous avez probablement entendu parler de la tendance du secteur à la normalisation. Un consortium industriel composé de grandes entreprises de la technologie et de la sécurité a lancé en août dernier l’Open Cybersecurity Schema Framework (OCSF), un standard des données provenant des différentes solutions et outils de sécurité pour en faciliter leur analyse et leur partage.
Cela va dans le bon sens : permettre une meilleure communication entre les divers services et solutions de sécurité, ce qui devrait contribuer à combler les disparités entre les applications et à rendre l’ensemble du système plus résilient et doté d’une meilleure capacité d’adaptation.
Un bémol cependant : le mouvement vers la normalisation mettra du temps à porter ses fruits. En effet, malgré l’incertitude économique, la transformation numérique continue de susciter un besoin fort et immédiat d’investissements dans la sécurité, et davantage encore dans la résilience opérationnelle. Alors que devrions-nous faire en attendant ? Le grand ménage, tout simplement.
Le cœur du problème n’est pas l’absence de norme, mais la multitude de solutions.
Ces solutions sont souvent incompatibles, non-interopérables ou avec des chevauchements au niveau des fonctionnalités et des services qu’elles fournissent. On ne peut pas dire que les professionnels de la cybersécurité aiment cette situation hétéroclite, il est donc nécessaire de comprendre comment nous en sommes arrivés là.
Les solutions de la plupart des organisations sont indépendantes les unes des autres, précisément parce que les professionnels de la sécurité ont connu une explosion de l’offre ces dernières années, sans pour autant l’aborder de manière stratégique. Au quotidien, l’équipe de sécurité répondait aux crises, se conformait aux exigences de chaque réglementation ou de chaque directive – tout en acquérant, pour chaque situation, la solution la moins chère possible. Autre alternative, cette équipe a pu obtenir la solution dans le cadre d’une offre groupée, et elle ne l’a pas forcément mise en œuvre.
Dans un cas comme dans l’autre, la couche de sécurité est trop souvent le résultat d’une série de décisions de ce type, prises dans l’urgence et sans l’implication du RSSI. C’est pour ces raisons que les organisations se retrouvent aujourd’hui avec un ensemble complexe d’outils qui manque de cohérence ou est trop cloisonné. Et il y a un manque criant de ressources formées pour les exploiter.
Avons-nous vraiment besoin du dernier robot multifonction, celui que nous n’utilisons jamais ? Alors que par ailleurs, nous manquons d’un jeu complet de couteaux. Cette métaphore peut sembler triviale, mais les conséquences sont graves : les trous et les angles morts constituent des menaces réelles et imminentes pour le cœur de nos entreprises. Les dirigeants ne sont que trop conscients du problème et reconnaissent leur responsabilité au niveau du conseil d’administration. Selon une enquête de Gartner, 88 % des conseils d’administration considèrent désormais la cybersécurité comme un risque métier plutôt que comme un risque technologique. En d’autres termes, les solutions ad hoc ont créé un problème stratégique.
La normalisation est la solution à long terme. L’OCSF est un argument de poids : il permet de confirmer le besoin et ouvre la voie à une meilleure interopérabilité, à un meilleur contrôle et à une réduction des écarts. Toutefois, aujourd’hui, les entreprises s’apparentent à des maisons encombrées par de nombreux appareils. Il convient donc de les désencombrer.
Rationaliser, simplifier et évacuer les éléments superflus pour obtenir des bases saines
Le moment est venu de porter un regard critique sur notre propre environnement, d’évaluer nos habitudes d’achat en matière de sécurité et de mettre en place les conditions les plus adaptées pour les changer. Cela signifie qu’il faut auditer la couche de sécurité actuelle, identifier les failles et les redondances, puis créer un plan d’action, en commençant par la résolution d’arrêter d’acheter autant.
En ne perdant pas de vue l’incertitude économique actuelle, il est possible d’utiliser cette période pour faire cette analyse et apporter ces améliorations. Il est nécessaire d’intégrer les outils existants et d’identifier les résultats stratégiques liés au plan de croissance de l’organisation. Une fois sa chaîne de sécurité rationalisée et renforcée, l’entreprise sera en bien meilleure position lorsque les normes commenceront à être appliquées.
Face aux menaces croissantes et diverses, les entreprises ont besoin de solutions et de services de sécurité cohérents.
La valeur ajoutée de cet effort est à la mesure de l’enjeu. L’enchevêtrement actuel de solutions de sécurité met les organisations en danger. Les tensions géopolitiques actuelles et l’irruption d’acteurs étatiques malveillants qui en résulte aggravent le risque. Il s’agit donc véritablement d’une question de survie pour les entreprises.
Dans ce contexte, mieux vaut ne pas attendre la normalisation de la cybersécurité et agir, sans tarder. Travailler avec rigueur et intelligence pour mettre de l’ordre dans les services et solutions de cybersécurité permettra aux entreprises de récolter les avantages futurs de la normalisation et de s’assurer qu’elles sont prêtes et bien protégées contre les menaces cyber en constante augmentation.
___________________
Par Niamkey Ackable, Deputy Practice Leader Security & Resiliency, Kyndryl France