BLOGUE – Pour la plupart des organisations, qui accordent à la sécurité une importance prioritaire, il peut s’avérer difficile de faire des choix parmi la liste infinie de projets possibles en la matière.

Les responsables principaux de la sécurité de l’information (RPSI) devraient mettre l’accent sur les projets permettant d’éliminer le plus grand nombre de risques et exerçant l’impact commercial le plus important.

1. Gestion des comptes privilégiés

Ce projet vise à rendre l’accès aux comptes privilégiés plus difficile pour les fraudeurs et devrait permettre aux équipes responsables de la sécurité de repérer les accès suspects. Les RPSI devraient, à tout le moins, mettre en place un mécanisme d’authentification à facteurs multiples (AFM) obligatoire pour tous les administrateurs, ce qu’on leur recommande aussi de faire à l’égard de l’accès des tiers, par exemple pour les sous-traitants.

Conseils : Procédez par étapes en optant, pour commencer, par un système ayant recours à une approche fondée sur les risques (valeur élevée, risque élevé). Surveillez les comportements.

2. Gestion des vulnérabilités inspirée de la CARTA

Inspiré par la méthode CARTA (continuous adaptive risk and trust assessment) de Gartner, ce projet constitue un excellent moyen de s’attaquer à la gestion des vulnérabilités et offre un potentiel important de réduction des risques. Envisagez d’explorer cette méthode lorsque le processus de correction est interrompu et que les opérations des technologies de l’information (TI) ont du mal à soutenir le nombre de vulnérabilités. Il est impossible de tout corriger, mais il est possible de réduire les risques de façon substantielle en établissant un ordre de priorité dans les démarches de gestion des risques.

Conseils : Exigez cette méthode auprès de votre fournisseur d’assistants virtuels ou de machines virtuelles, et envisagez de recourir, dans le cadre de votre analyse, à des mécanismes de contrôle visant l’atténuation des risques, par exemple des pare-feu.

3. Antihameçonnage actif

Ce projet s’adresse aux organisations dont les employés continuent d’être victimes d’hameçonnages fructueux. Il nécessite une stratégie à trois volets comportant des contrôles techniques, des contrôles des utilisateurs finaux et un réaménagement des processus. Ayez recours à des contrôles techniques pour bloquer le plus grand nombre d’attaques possible. Veillez toutefois à intégrer la participation active des utilisateurs à votre stratégie de défense.

Conseils : Ne pointez pas du doigt les groupes ou les personnes qui ne font pas les choses comme il faut; mettez en valeur ceux qui font preuve des bons comportements. Demandez à votre fournisseur de sécurité de la messagerie électronique s’il est en mesure de mettre ce projet en œuvre. Dans la négative, cherchez à savoir pourquoi.

4. Contrôle des applications sur les charges de travail des serveurs

Cette option est bien adaptée pour les organisations qui recherchent une situation de « blocage par défaut » ou de « zéro confiance » à l’égard des charges de travail des serveurs. Ce projet recourt à un contrôle des applications de manière à bloquer la plupart des logiciels malveillants étant donné qu’il n’existe pas de liste blanche pour la plus grande partie de ceux-ci. Il s’agit d’une posture très puissante sur le plan de la sécurité. Son efficacité contre les attaques de type Spectre et Meltdown a été éprouvée.

Conseils : Associez cette mesure à une protection complète de la mémoire. Il s’agit d’un excellent projet en ce qui concerne l’Internet des objets et les systèmes ne jouissant plus du soutien du fournisseur.

5. Microsegmentation et visibilité du flux

Ce projet convient aux organisations ayant des topologies réseaux plates — tant dans leurs installations que dans les infrastructures en tant que service (IaaS) — et désirant avoir une visibilité et un contrôle sur les flux de trafic dans les centres de données. Cette approche vise à contrecarrer la propagation latérale des attaques visant ces derniers. Lorsque l’ennemi réussit à entrer, il n’arrive pas à se déplacer sans rencontrer d’obstacles.

Conseils : Amorcez la segmentation en commençant par la visibilité, mais évitez la sursegmentation. Commencez par les applications essentielles et exigez de vos fournisseurs qu’ils soutiennent la segmentation native.

6. Leurre et intervention

Ce projet convient aux organisations qui savent que le compromis est inévitable et qui sont à la recherche de méthodes axées sur les points d’extrémité, les réseaux et les utilisateurs, ainsi qu’offrant des capacités de détection des menaces, d’enquête et d’intervention. Il existe plusieurs variantes possibles :

Ce dernier est un marché naissant idéal pour les organisations à la recherche de moyens approfondis de renforcer leurs mécanismes de détection des menaces au moyen d’événements de haute fidélité.

Conseils : Insistez auprès des fournisseurs d’EPP pour qu’ils vous assurent un EDR et auprès des fournisseurs de gestion des renseignements et des événements relatifs à la sécurité (SIEM) pour qu’ils vous assurent des capacités d’analyse du comportement des utilisateurs et des entités. Exigez un portefeuille riche en matière de cibles de leurre. Envisagez de recourir à des services « limités » (lite) de registre de données-mémoire directement auprès du fournisseur.

7. Gestion du degré de sécurité nuagique

Les organisations souhaitant procéder à une évaluation automatisée complète du degré de sécurité nuagique de leur IaaS/plateforme comme service (PaaS) pour repérer les zones de risque excessif devraient envisager ce projet. On peut faire appel à divers fournisseurs à cet égard, dont les courtiers de sécurité d’accès au nuage (CASB).

Conseils : Si vous avez une IaaS simple, commencez vos recherches du côté d’Amazon et de Microsoft. Imposez cette exigence à votre CASB.

8. Analyse de sécurité automatisée

Ce projet convient aux organisations qui souhaitent intégrer des contrôles de sécurité à des flux de travaux de type DevOps. Commencez par procéder à une analyse de la composition au moyen d’un logiciel ouvert, puis intégrez des tests aux flux de travaux DevSecOps, y compris les conteneurs.

Conseils : Ne demandez pas aux développeurs de changer d’outils. Exigez la mise en œuvre complète de l’interface de programmation d’applications (API) afin de permettre l’automatisation.

9. Courtiers de sécurité d’accès au nuage (CASB)

Ce projet s’adresse aux organisations ayant des effectifs mobiles et recherchant un point de contrôle afin d’assurer une visibilité et une gestion de services nuagiques multientreprises à l’appui des stratégies.

Conseils : Justifiez d’abord le projet en procédant à une exploration. L’exploration et la surveillance des données sensibles au poids constituent un cas d’usage essentiel en 2018 et en 2019.

10. Périmètre défini par logiciel

Ce projet vise les organisations qui désirent réduire la surface des attaques en restreignant l’exposition des systèmes et des renseignements numériques à des ensembles désignés de partenaires, de travailleurs à distance et de sous-traitants.

Conseils : Réévaluez les risques associés à l’accès aux réseaux privés virtuels (RPV) d’origine. À titre de cas d’usage, effectuez un essai pilote en 2018 en faisant appel à un service d’affaires
numériques relié à des partenaires.

L’auteur Neil MacDonald est vice-président et analyste chez Gartner. Il fait partie de l’équipe de recherche sur la sécurité de l’information, la protection des renseignements personnels et les risques. Il concentre plus particulièrement ses activités sur la protection des environnements informatiques virtualisés et nuagiques de nouvelle génération contre les attaques évoluées.

Lire aussi :

Les cinq grandes tendances 2018 en gestion des risques et de la sécurité

Investir dans le numérique : un impératif pour les DPI

La marche à suivre pour les DPI en matière de stratégie d’entreprise