Groupe de réflexion sur la sécurité : apprenez à connaître votre paysage personnel des menaces

Enquêtes pour identifier les risques

Les équipes de sécurité doivent utiliser toutes les données à leur disposition pour comprendre leur posture de risque. Une base de données de gestion de la configuration (CMDB) utilisée avec la détection et la réponse étendues (XDR) de nouvelle génération pour fournir des détails sur qui se connecte et d’où et quelles applications, des listes de vulnérabilités présentes dans le domaine, des rapports sur la façon dont les contrôles sont exécutés, etc., sont tous utiles. Cependant, pour déterminer la probabilité qu’une menace se produise, il faut les combiner et les appliquer au risque en question.

La mise en commun des données en indicateurs de risque clés et en indicateurs de performance clés peut souvent montrer qu’un risque émerge, ou s’il s’agit d’un problème, ce qui permet de le traiter de manière proactive, plutôt que de devoir lutter contre les incendies à une date ultérieure pour y remédier. Les systèmes doivent être intégrés dans les solutions SIEM, ou SOAR qui utilisent plusieurs sources, pour fournir une vue enrichie en données des indicateurs de compromission (IoC). Les offres telles que XDR, comme mentionné ci-dessus, intégrées à la surveillance des applications, permettent de mieux répondre aux menaces ou aux tentatives de violation que si l’on s’appuie sur une seule source de données.

Lier ses actifs informatiques à son registre des risques permettra à une entreprise d’identifier les systèmes les plus critiques pour ses opérations commerciales et de s’assurer qu’ils reçoivent le plus d’attention.

Une approche intégrée de la sécurité

Se concentrer sur les points chauds de risque nécessite également une intégration complète des systèmes et une approche holistique dans l’ensemble de l’organisation. La cybersécurité englobe un large éventail d’éléments, qui doivent tous fonctionner correctement et en conjonction les uns avec les autres afin de gérer efficacement les menaces.  Par exemple:

1. Contrôle d’accès au système

La prévention de l’accès non autorisé au système nécessite la mise en œuvre d’une gestion forte des identités et des accès (IDAM) prise en charge par des contrôles au niveau du réseau. La gestion des accès privilégiés (PAM) dans l’ensemble de l’entreprise est un élément clé de la sécurisation des parcs et l’un des angles morts que les attaquants tenteront d’utiliser. La mise en œuvre de ces programmes permet d’éviter que des portes dérobées ne soient laissées ouvertes par inadvertance pour les acteurs malveillants, par exemple en accordant temporairement l’accès administrateur local ou l’accès administrateur de domaine pour qu’une tâche soit terminée, mais sans la supprimer.

2. Contrôle au niveau du réseau

Avec un plus grand nombre d’employés travaillant à domicile et de nombreuses organisations adoptant une stratégie « cloud first », il est tentant de négliger le réseau central de l’organisation. La plupart des entreprises disposeront toujours de volumes importants de données et d’applications qui ne sont accessibles que via le réseau, qui doit être protégé. Les principes de confiance zéro devraient être adoptés dans la mesure du possible pour isoler les ressources – un employé ayant accès au réseau n’a pas besoin d’accéder à l’ensemble de celui-ci. Des mécanismes d’authentification et d’autorisation devraient être en place pour interroger, vérifier et alerter le trafic réseau afin de s’assurer qu’il est valide et non malveillant.

3. Interception des intrus

Les capacités de détection et de réponse intégrées à un centre d’opérations de sécurité (SOC) solide peuvent patrouiller le réseau fou toute activité malveillante. Une gestion robuste des vulnérabilités devrait également être mise en place dans tous les domaines pour combler les trous faciles à percer dans les défenses.

4. La sécurité n’est pas un « add-on »

La sécurité doit être intégrée à tous les projets informatiques dès le premier jour (une approche de sécurisation dès la conception). Cela garantit qu’il ne s’agit pas d’une réflexion après coup, ce qui crée des risques pour l’organisation, ainsi que des maux de tête résultant de l’intégration tardive de la sécurité des applications.

5. Le « pare-feu humain »

La technologie n’est qu’une partie de l’équation de la cybersécurité – un élément clé de la sécurisation de l’entreprise est les personnes impliquées, et l’importance du « pare-feu humain » ne doit pas être sous-estimée. Même une organisation dotée des derniers outils de cybersécurité est toujours menacée par les attaques d’ingénierie sociale, qui utilisent la manipulation psychologique et le contenu persuasif pour inciter les utilisateurs à fournir des informations sensibles aux pirates informatiques ou à leur permettre d’accéder au système.

Cela souligne l’importance de la formation de sensibilisation à la sécurité pour tous les utilisateurs afin de favoriser un état d’esprit conscient et questionnant tout. L’éducation doit être un cycle continu de développement, de formation et de test pour se tenir au courant des dernières tendances et techniques utilisées par les acteurs malveillants et être entreprise dans toute l’organisation.

En conclusion…

Il n’y a pas de solution miracle qui sécurisera les actifs critiques d’une organisation, mais une approche intégrée de la sécurité qui résout les problèmes ci-dessus de manière concertée est une position forte qui fournit une défense solide contre les attaquants.