Obtenez un devis
Écrit par Robert Bond le 9 mai 2022

Les trois piliers d'une bonne cyberhygiène - Partie 1 sur 4

La cyberhygiène est un sujet vaste et crucial pour la sécurité informatique et, franchement, elle a souvent des définitions différentes, même dans les grandes sociétés de conseil en sécurité informatique. De plus, leur vision d'une bonne cyberhygiène est différente et peut également être quelque peu nébuleuse et compliquée. L'objectif de cette série d'articles de blog en 4 parties est de vous fournir une définition claire de la cyberhygiène et ce que nous, chez Hitachi Systems Security, pensons être les trois piliers essentiels à la réalisation d'un bon programme de cyberhygiène.

Avant d'aborder les trois piliers essentiels, nous allons parler de la cyberhygiène elle-même afin de créer une base de compréhension du terme. À bien des égards, la cyberhygiène est synonyme de la posture de sécurité d'une organisation ; j'espère que nous sommes d'accord sur ce point. Je veux dire que si une organisation a une bonne posture de sécurité et obtient de bons résultats dans un cadre NIST, ISO ou CIS 20, sa cyberhygiène sera également excellente.

Cependant, le renforcement de la posture de cybersécurité d'une organisation est complexe ; et relever le défi de la technologie, comme le font de nombreuses organisations, n'est pas suffisant. Le processus doit commencer par la mise en œuvre de pratiques fondamentales de cybersécurité, ce qui, selon nous, constitue le fondement de la cyberhygiène. Tout comme l'hygiène personnelle, l'objectif de la cyberhygiène est de commencer par des actions de base qui sont les plus susceptibles de favoriser une bonne santé. Malgré la croyance populaire selon laquelle la cyber hygiène est exclusivement le travail du département informatique ; cependant, la Cyber hygiène devrait impliquer tous les départements et faire partie de la culture de l'organisation.

Pourquoi une bonne cyberhygiène est si essentielle pour protéger les organisations contre les attaques

Dans une récente enquête de Forrester Consulting, 94 % des responsables de la sécurité et des entreprises ont constaté que leur organisation avait été victime d'une cyberattaque ou d'une compromission ayant un "impact sur l'entreprise" au cours de l'année écoulée. Selon l'enquête, on entend par "impact sur l'activité" une attaque qui a entraîné la perte de clients, d'employés ou de données confidentielles (PII). En outre, toute interruption des opérations quotidiennes, le paiement d'un ransomware ou toute autre perte financière ou vol de propriété intellectuelle seraient inclus.

C'est un chiffre très important, en particulier lorsqu'on s'adresse aux dirigeants de la C-suite", déclare Wenzler, analyste chez Forrester. "Les professionnels de la sécurité peuvent désormais s'adresser aux cadres supérieurs et leur apporter la preuve que les cyberattaques auront un impact sur leurs activités et qu'ils doivent faire quelque chose pour y remédier."

cybersecurity and posture management
Figure 1 - Gartner's View of Cybersecurity and Posture Management

Entre-temps, les menaces vont au-delà de la technologie et des hackers externes. La faillibilité humaine est souvent à l'origine des brèches. Les cyber-attaquants ne s'introduisent plus par effraction, ils se connectent en utilisant des mots de passe faibles, par défaut ou compromis. Une fois qu'ils ont compromis les mesures de sécurité, les adversaires sont en mesure d'infliger de réels dommages en se déplaçant latéralement sur le réseau, en cherchant à obtenir un accès privilégié aux infrastructures critiques et aux données sensibles, potentiellement précieuses.

Le service informatique ne peut à lui seul limiter les attaques basées sur l'identité. En définitive, il s'agit d'une responsabilité partagée par tous les employés, de la direction aux stagiaires d'été, ainsi que par les partenaires et les sous-traitants. "Si vous regardez les principales attaques de ransomware qui ont eu lieu, une cyber-hygiène de base aurait pu prévenir la grande majorité d'entre elles, en annihilant leur capacité à se déplacer latéralement", a déclaré Matthew Swenson, chef de l'unité de cybercriminalité du département de la sécurité intérieure (DHS) au sein de Homeland Security Investigations (HSI), lors d'un récent webinaire. "Segmentation lourde du réseau, surveillance de la sécurité du réseau, modèles de confiance zéro, authentification multifactorielle, tous ces types de choses."

"Je pense que l'on commence par la cyberhygiène de base, que l'on progresse, et qu'à mesure que l'on commence à prévenir ces éléments de base et que l'on devient de plus en plus sûr, je pense que l'on finit par prévenir la grande majorité de ces types d'attaques", a-t-il ajouté.

Pourquoi le paysage de la cybersécurité rend la bonne cyberhygiène si difficile ?

Dans la nouvelle "normalité numérique", le périmètre traditionnel ou la défense technologique en couches ne sont pas adaptés à l'afflux de cybermenaces. De nombreuses entreprises n'ont pas une vision claire de leur surface d'attaque croissante et ont souvent une mauvaise compréhension de leur risque global. Les analystes et consultants en sécurité et nous-mêmes, chez Hitachi Systems Security, voyons plusieurs nouveaux développements qui auront un impact sur le cyber-paysage cette année et au-delà.

La pandémie, qui a entraîné une augmentation spectaculaire du nombre de travailleurs à distance, associée à des dispositifs de sécurité traditionnels, a élargi la surface d'attaque de la plupart des organisations. Nous avons constaté que les cybercriminels ont fait évoluer leurs tactiques d'attaque pour exploiter les travailleurs à distance qui constituent les points d'entrée les plus faciles et les plus vulnérables dans les organisations, même par le biais d'attaques de phishing les plus rudimentaires.

Cette tendance va se poursuivre étant donné que de nombreuses organisations continuent d'utiliser des approches et des architectures de sécurité héritées du passé, par exemple les VPN et le RDP, pour faciliter le travail à distance. Le cadre de confiance zéro n'étant pas encore largement adopté, une augmentation des attaques est attendue par la quasi-totalité de la communauté de la sécurité. Il en résulte bien sûr des perturbations opérationnelles, des atteintes à la marque et des pertes financières.

IoT, Cloud and OT convergence cybersecurity
Figure 2 - IoT, Cloud and IT and OT Convergence Make Cyber hygiene more difficult

 

Les cybercriminels ont intensifié leurs attaques par ransomware en utilisant une approche en trois phases : ils s'infiltrent dans le réseau, exfiltrent et chiffrent les données, et demandent une rançon tout en menaçant de " nommer et de faire honte " aux victimes sur des sites publics.

Le nombre de logiciels rançonneurs en tant que service (RaaS) a considérablement augmenté, les pirates peu qualifiés étant en mesure de louer le code d'un logiciel rançonneur, de le personnaliser et de le déployer dans le cadre d'attaques réelles, généralement pour percevoir des rançons lucratives auprès d'institutions gouvernementales, d'écoles et de petites organisations.

Pour être efficace, la cyber-hygiène doit faire partie intégrante de la routine quotidienne d'une organisation. Par exemple, cela va au-delà de l'application de politiques de mots de passe, comme certains le suggèrent, et nécessite que les organisations adoptent une approche holistique pour améliorer la sécurité dans l'ensemble de l'organisation. Lorsqu'elle est appliquée correctement, la cyberhygiène peut contribuer à la protection contre les cybermenaces les plus courantes.

Les trois piliers de la cyberhygiène

Je suis absolument certain que les experts de toute la communauté de la cybersécurité pourraient débattre des trois éléments les plus essentiels à l'amélioration de la posture de sécurité globale et de la cyberhygiène d'une organisation. Cela dit, nous nous sommes réunis ici, chez Hitachi Systems Security, pour présenter nos trois piliers.

Pilier 1 - Meilleures pratiques de gestion des vulnérabilités

La gestion des vulnérabilités a pour but d'identifier et de corriger rapidement les vulnérabilités des systèmes avant qu'elles ne soient exploitées. Les vulnérabilités, qui sont essentiellement des faiblesses au sein d'un logiciel, peuvent conduire à un système ou un réseau pouvant être exploité par des attaquants. Ces vulnérabilités doivent être identifiées, évaluées et corrigées régulièrement pour garantir une sécurité permanente. Afin de créer et de maintenir une position de sécurité solide, les propriétaires d'entreprises et les responsables de la sécurité doivent être parfaitement conscients des vulnérabilités de leurs systèmes, ainsi que du processus par lequel elles peuvent être rapidement corrigées. Si les vulnérabilités ne sont pas identifiées ou corrigées, les entreprises s'exposent à des attaques.

Selon un récent rapport d'enquête sur les violations de données de Verizon, "98 % des incidents de sécurité et 88 % des violations de données continuent de se produire selon l'un des neuf schémas suivants." Comprendre et prendre des mesures pour se prémunir contre les schémas et approches courants que les attaquants utilisent pour infecter votre système permettra d'améliorer considérablement la posture de sécurité de votre entreprise. Le moyen le plus important d'y parvenir est de rechercher fréquemment les vulnérabilités connues. Ces faiblesses courantes font souvent l'objet de correctifs disponibles auprès du fabricant du logiciel qui éliminent la vulnérabilité.

Pilier 2 - Utiliser un cadre de cybersécurité tel que CIS 20, NIST ou ISO

Les cadres de cybersécurité fournissent un plan d'identification, de hiérarchisation et de création d'un plan permanent permettant aux organisations d'améliorer leur position au fil du temps grâce à des audits et des notations. Commençons par le CIS 20 ; il est de loin le plus facile à comprendre, à utiliser et à noter, avec beaucoup moins d'éléments à évaluer que les évaluations NIST et ISO.

Les 20 meilleurs contrôles de sécurité critiques du Center for Internet Security (CIS) (anciennement connus sous le nom de SANS Top 20 Critical Security Controls) sont un ensemble de meilleures pratiques classées par ordre de priorité et créées pour stopper les menaces les plus répandues et les plus dangereuses d'aujourd'hui. Il a été élaboré par d'éminents experts en sécurité du monde entier et est affiné et validé chaque année. L'une des clés est de s'attaquer aux menaces d'aujourd'hui. Nous avons fourni un tableau ci-dessous qui identifie plusieurs des défis redoutables auxquels les équipes de sécurité informatique seront confrontées au cours des prochaines années.

Il est assez simple de commencer à utiliser l'un ou l'autre de ces cadres. Tous les cadres commencent essentiellement par se poser les questions suivantes pour évaluer la qualité de la gestion des cyber-risques par l'organisation :

  • Savez-vous ce qui est connecté à vos ordinateurs et réseaux ?
  • Savez-vous quels logiciels sont exécutés sur vos systèmes et réseaux ?
  • Configurez-vous vos ordinateurs en tenant compte de la sécurité ?
  • Gérez-vous les personnes qui ont accès à des informations sensibles ou qui bénéficient de privilèges supplémentaires ?
  • Votre personnel est-il conscient de son rôle dans la protection de votre organisation contre les cyberincidents ?

Nous avons constaté que les conclusions de Forrester correspondent à ce que nous observons dans les entreprises et d'un secteur à l'autre. Ce que nous voulons dire, c'est que si une organisation s'est soumise à une évaluation de la posture de sécurité telle que CIS, ISO ou NIST, cet exercice l'obligera à évaluer les systèmes de grande valeur, ses processus d'hygiène de sécurité et son chemin vers une défense de sécurité plus efficace... au minimum.

Ce qui semble évident dans l'enquête de Forrester, c'est que la majorité des organisations ne se sont toujours pas soumises à une évaluation valide.

Pilier 3 - Meilleures pratiques de réponse aux incidents

Près d'un tiers des entreprises américaines ont été victimes d'une intrusion l'année dernière, selon une enquête de HSB menée par Zogby Analytics auprès de 403 cadres supérieurs aux États-Unis. HSB, l'un des principaux fournisseurs de cyberassurance pour les entreprises et les particuliers, a indiqué qu'en raison de la quantité croissante de données personnelles et professionnelles disponibles en ligne, le risque d'exposition augmentera en proportion. L'impact financier d'une violation de données rapporté dans l'enquête était également considérable : 27 % des organisations victimes ont dépensé entre 5 000 et 50 000 dollars pour répondre à la violation et 30 % ont dépensé entre 50 000 et 100 000 dollars.
L'enquête a également révélé que 51 % des dirigeants pensaient que leur personnel de sécurité informatique "n'avait pas de plan" pour faire face à la violation, 41 % n'avaient pas les connaissances requises pour gérer la violation de manière adéquate et 38 % manquaient de ressources.

Le Ponemon Institute a choqué le secteur de la cybersécurité il y a quelques années en publiant une enquête auprès de 567 cadres, dont 43 % ont indiqué avoir été victimes d'une violation de données ou d'un incident de sécurité, si l'on examine les détails de l'enquête, au cours des 12 mois précédents. Si les incidents de sécurité et les violations de données sont des pommes et des oranges, la tendance et toute analyse au dos d'une serviette de table brossent un tableau assez sombre - le nombre d'organisations qui subissent des dommages importants à la suite d'une cyberattaque augmente à un rythme rapide.

L'enquête de Ponemon a également révélé que 68 % des personnes interrogées ne se sentaient pas préparées à répondre à une violation de données et que 30 % d'entre elles estimaient que leur plan de réponse à une violation de données était tout simplement inefficace. Il est clair que la réponse aux incidents de sécurité ne s'est pas améliorée proportionnellement à la sophistication des attaques et à leur nombre.

Conclusion

En fin de compte, les organisations doivent garder à l'esprit que le maintien de la cyberhygiène est un problème commercial, et non un problème informatique. En tant que telles, les organisations devraient mettre en œuvre les recommandations énumérées ci-dessus dans les politiques, les plans, les processus et les procédures. Une amélioration progressive de la cyberhygiène peut grandement contribuer à protéger une organisation contre les infections de sécurité et à minimiser le risque d'être victime d'une cyberattaque.

Un nombre important d'organisations et de responsables de la sécurité considèrent la cyberhygiène comme quelque chose de théorique plutôt que comme quelque chose de mesurable que leur organisation devrait s'efforcer d'identifier et de fixer des objectifs de réduction. La plupart des professionnels de la sécurité informatique ou de la cybersécurité savent qu'il est difficile de donner une valeur aux systèmes, aux coûts des litiges, aux coûts des dommages causés à la marque, aux coûts des ransomwares, aux coûts des pertes de données, aux pénalités de conformité et à tant d'autres variables difficiles à estimer.

Ainsi, les meilleures pratiques de cyber-hygiène ne sont souvent pas mises en œuvre ou mesurées. Nous suggérons qu'un programme de gestion des vulnérabilités de qualité, une évaluation de la posture de sécurité pour comprendre où se situe votre niveau de risque aujourd'hui, et un programme de réponse aux incidents fiable serviront de base à un programme de cyber-hygiène de qualité. Dans les 3 prochains billets de blog, nous relierons tout cela pour discuter de notre pensée, pourquoi vous devriez vous concentrer sur ces 3 éléments et comment les mettre en œuvre.

Articles similaires

N'attendez pas.
Obtenez un devis aujourd'hui.

Sans frais 1 866-430-8166Obtenez un devis gratuit
Sécurisez votre entreprise aujourd'hui.
phone-handsetcrossmenu