Les RSSI doivent être proactifs dans leurs cyberstratégies, affirme un conférencier au MapleSEC

Les professionnels de la sécurité de l’information devraient être plus agressifs dans leurs stratégies de cybersécurité, a déclaré un expert lors de la conférence MapleSEC de cette semaine.

Cela ne signifie pas de pirater ou de s’attaquer à l’infrastructure des cybercriminels, a déclaré Nick Aleks, directeur principal de la sécurité chez la fintech Wealthsimple.  Au lieu de cela, a-t-il déclaré, les RSSI et leurs équivalents doivent cesser d’être réactifs aux cybermenaces.

Aleks était le conférencier principal de la dernière conférence MapleSEC, organisée par IT World Canada et qui se poursuit en ligne aujourd’hui.

Malheureusement, a déclaré Aleks, la plupart des responsables de la sécurité informatique ont des cadres de cybersécurité rigides et ils ne conduisent pas de test des systèmes de manière régulière. Adopter une approche proactive pour construire un programme de sécurité signifie s’attendre à ce qu’une brèche se produise. « Vous devez avoir un état d’esprit du “quand” et non du “si” vous allez être touché », a souligné Aleks.

« La lutte en matière de sécurité est un ensemble simple de cinq principes fondamentaux que vous pouvez intégrer et adopter dans votre organisation », a-t-il déclaré.

— Adopter une attitude proactive vis-à-vis de la cybersécurité. « Il s’agit de penser à ce que vous allez faire quand quelque chose de mal se produira, et non d’essayer d’empêcher que quelque chose de mal se produise. Vos contrôles, vos employés et votre stratégie doivent tous être alignés sur cela. »

— Adopter une approche unifiée de la cybersécurité. Trop d’organisations abordent la cybersécurité en silos, où les informations sur les menaces sont conservées dans certains départements. Non seulement les informations sur les menaces doivent être partagées entre les unités commerciales, a déclaré Aleks, mais elles doivent également être partagées avec d’autres entreprises et les forces de l’ordre.

Tout le personnel doit être impliqué dans la cybersécurité. Commencez par créer un programme de champions de la sécurité à partir de différentes unités commerciales et faites-les rejoindre l’équipe de sécurité. Ils feront également partie de votre réponse aux attaques et de votre stratégie de confinement.

Le partage en dehors de votre organisation est également vital. « Les problèmes auxquels vous êtes confrontés aujourd’hui dans votre programme de sécurité ne sont pas nouveaux », a déclaré Aleks. « Tout le monde en dehors de votre espace est également confronté à ces mêmes problèmes. »

« Ce n’est pas correct de garder pour nous des renseignements », a-t-il ajouté. « Ce n’est que lorsque nous nous unirons que nous pourrons combattre les cybercriminels. »

— Penser en termes d’assurance de sécurité continue. Ne vous contentez pas d’implémenter de nouveaux matériels/logiciels/politiques après un incident et à vous attendre à ce que cela résolve les problèmes. Testez vos contrôles de sécurité régulièrement (au moins tous les trimestres) et faites des répétitions de votre réaction aux attaques attendues.

« Vous n’avez pas nécessairement besoin d’investir dans un outil de simulation d’attaque par brèche ou d’engager une société de test d’intrusion », a-t-il ajouté. Examinez attentivement votre dernier grand incident cybernétique. Faites plus que trouver la cause première et assurez-vous qu’elle ne mène pas à un autre compromis. Un post-mortem doit vous permettre de voir à quel point vous avez été efficace, demandez-vous en quoi votre réponse aurait pu être meilleure. « Ce n’est qu’alors que nous deviendrons vraiment bons pour combattre les incendies », a-t-il déclaré.

— Avoir un programme de sécurité flexible. L’application de contrôles de sécurité de haut en bas ne fonctionnera pas toujours. Au lieu de cela, travaillez avec les employés avant qu’ils ne travaillent contre vous. Trouvez les procédures les plus flexibles, faciles et simples pour les employés. Cela aidera entre autres à contourner le « shadow IT » (utilisation d’appareils personnels non approuvés pour se connecter au réseau de l’entreprise). Cela permettra également aux employés et aux clients de travailler avec la sécurité, et non contre elle. Trouver des moyens sûrs de faire quelque chose implique une conversation, a-t-il déclaré.

— Avoir un plan pour cesser d’être le département du “Non”. Établissez la confiance, et non la peur, entre les employés. Parlez des avantages pour les clients d’avoir un programme de cybersécurité solide.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Data Effect 2022 : Créer un système intégré de données de santé publique

Des dirigeants de la santé publique et de la technologie se sont réunis à Ottawa la semaine dernière lors du 10e événement annuel Data Effect de CityAge pour discuter de l’intendance et du partage des données en tant que clé pour favoriser l'innovation et créer un écosystème intégré de données sur la santé publique au Canada.

Gouvernance 101 – Pourquoi c’est plus important que jamais

Certains estiment que la gouvernance des données, définie par Informatica comme un ensemble de principes, de normes et de pratiques garantissant la fiabilité et la cohérence des données d'une organisation, est ennuyeuse.

Zoom dévoile des innovations au Zoomtopia 2022

Cette semaine, la société de technologie de communications Zoom tenait son événement annuel Zoomtopia, où la société a annoncé plusieurs innovations conçues pour améliorer les expériences de travail modernes.

Une session du MapleSEC examine la meilleure façon de mettre fin au chaos des courriels

Les chiffres sont à la fois effrayants et alarmants. Au cours de 2022, selon Statista, on estime qu'un nombre stupéfiant de 333,2 milliards de courriels seront envoyés et reçus dans le monde, un nombre qui atteindra 347,3 milliards l'année prochaine et franchira la barre des 376,4 milliards d'ici 2025.

Pourquoi appeler la police après une cyberattaque ? Parce qu’ils attendent votre appel

Il existe de nombreuses raisons de signaler une cyberattaque réussie à votre service de police local. Le constable enquêteur Doug MacRae, de la section de la cybercriminalité de la Police régionale de York en Ontario a le meilleur : « Vos impôts paient notre salaire », a-t-il déclaré aux pros de la sécurité des TI lors d'une conférence le mois dernier, « alors utilisez-nous ».