Rendre l'image de la sécurité plus lisible
Parfois, le bon "cadre" peut changer votre vision d'une image. Dans le cas présent, le cadre que j'ai à l'esprit est en fait une structure: un principe d'organisation pour les dirigeants qui élaborent des stratégies de cyberdéfense. Lorsqu'un tel cadre parvient à établir une vision claire des concepts et des objectifs, il peut mettre toute une équipe technologique sur la même longueur d'onde, simplifiant et accélérant des tâches autrefois sujettes à des complications et à des retards.
Je m'explique.
En mars dernier, Keri Pearson, directrice de la recherche sur la cybersécurité au MIT, et Nelson Novaes Neto, chercheur à la Sloan School of Management du MIT, ont publié dans la Harvard Business Review les résultats inquiétants de leur récente enquête sur la sensibilisation à la cybersécurité au sein des conseils d'administration. Seuls 68 % des directeurs d'entreprise ont déclaré discuter régulièrement de la cybersécurité, et 23 % ont dit ne pas avoir de plan ou de stratégie de cybersécurité au niveau du conseil d'administration. Le pire : 9 % de ces administrateurs ont déclaré à Pearson et Neto qu'ils ne discutaient jamais de la cybersécurité !
Les clients de ces entreprises attendent sans doute mieux. Les organisations qui ne parviennent pas à anticiper les risques peuvent perdre leur confiance et leur image de marque en cas d'incident de sécurité. L'enquête a mis en évidence une crise de compréhension : De nombreux influenceurs non techniques n'ont pas les moyens de comprendre une menace existentielle de niveau 1. En d'autres termes, un "cadre" est nécessaire pour rendre l'image de la sécurité plus lisible.
Que suggèrent donc Pearson et Neto ?
"Nous apprécions le cadre de cybersécurité du NIST... Il est simple et offre aux cadres et aux directeurs une bonne structure pour réfléchir aux aspects importants de la cybersécurité. Mais il comporte également de nombreux niveaux de détail que les cyber-professionnels peuvent utiliser pour mettre en place des contrôles, des processus et des procédures"[1].
Le cadre du NIST : Une feuille de route pour la stratégie de cybersécurité
Considérez le cadre NIST comme une feuille de route flexible pour la stratégie de cybersécurité.
Le cadre a été élaboré il y a près de dix ans par l'Institut national des normes et de la technologie du ministère américain du commerce et repose sur l'expérience de praticiens du monde réel depuis le début des années 2000. Il a été mis à jour en 2018 et reste un document évolutif : Le NIST a sollicité des suggestions pour la prochaine itération au printemps 2022[2]. Il utilise un langage simple - Identifier, Protéger, Détecter, Répondre, Récupérer - pour orienter les non-spécialistes vers les défis de la sécurité.
Le cadre du NIST ne fait pas de favoritisme lorsqu'il s'agit de nommer les solutions technologiques préférées. Il s'agit plutôt de normes, et non d'approbations. Les décisions concernant la manière de tirer parti du cadre sont laissées à l'appréciation de chaque organisation.
Mais sa neutralité étudiée lui confère un pouvoir et une influence supplémentaires. L'objectif du cadre est notamment de "servir de modèle à la coopération internationale pour le renforcement de la cybersécurité [...] un moyen souple de répondre" aux besoins en matière de sécurité[3]. En effet, le cadre du NIST a inspiré "des traductions, des adaptations et d'autres références dans le monde entier"[4] - y compris le NIS de l'Union européenne et sa mise à jour ultérieure, le NIS2.
Plus le cadre du NIST et ses équivalents dans le monde seront connus, plus les chefs d'entreprise auront la possibilité de comprendre et de gérer les cyber-risques. S'ils veulent suivre la feuille de route du cadre - identifier, protéger, détecter, répondre, récupérer - c'est un bon point de départ. L'étape logique suivante consiste à se demander : comment exécuter ? Et avec quel partenaire ?
Comment Vectra s'inscrit dans le cadre du NIST
Vectra et sa communauté de partenaires de confiance clarifient la façon dont nos offres s'inscrivent dans le cadre du NIST. Nous faisons le lien. Vectra aligne ses activités et sa technologie sur le cadre NIST.
Les clients apprécient deux points en particulier.
Tout d'abord, le cadre définit quatre "niveaux de mise en œuvre" pour les solutions de sécurité, avec des degrés de sophistication croissants. Ils vont du niveau 1 ("partiel"), où une organisation gère les risques de manière improvisée et réactive et ne dispose pas de processus clés, au niveau 4 ("adaptatif"), en passant par le niveau 2 ("tenant compte des risques") et le niveau 3 ("reproductible").
Le niveau 4 est clairement le meilleur état à atteindre. Au niveau 4, une organisation s'adapte activement à l'évolution du paysage de la cybersécurité. La gestion des risques par le biais d'un partage agile des informations fait partie de son ADN. Cependant, il est difficile, voire impossible, de parvenir à une mise en œuvre de niveau 4 du NIST sans automatisation. L'analyse d'énormes ensembles de données à la recherche de preuves de la présence d'attaquants est un travail monotone pour les yeux et les esprits humains qui effectuent des analyses manuelles.
La plateforme Vectra automatise l'analyse des événements de sécurité et réduit jusqu'à 90 % le temps consacré aux enquêtes sur les menaces. Cela permet aux personnes concernées de travailler à un potentiel plus élevé et d'aborder l'aspect le plus important de la gestion des risques : la compréhension du contexte commercial des vulnérabilités, des menaces entrantes et des contrôles de sécurité.
Le système de niveaux du cadre NIST, qui fait autorité, aide les organisations à comprendre les vertus d'une cyberdéfense adaptative et intelligente. Lorsqu'elles y parviennent, la plateforme Vectra prouve sa valeur en produisant des résultats mesurables et en contribuant à un processus d'amélioration continu et à long terme.
Deuxièmement, la feuille de route en cinq mots du cadre - Identifier, Protéger, Détecter, Répondre, Récupérer - s'imposant de plus en plus comme le moyen par défaut de comprendre la cyberdéfense, la plateforme Vectra apporte une valeur et une performance de premier ordre surtout pour Détecter et Répondre, les éléments fondamentaux du cadre qui sont au cœur de notre mission. Prenons l'exemple suivant :
- La détection automatisée des menaces est au cœur de la plateforme. Elle assure un contrôle continu et une surveillance automatisée des menaces dans l'ensemble de l'entreprise.
- La plateforme utilise l'apprentissage automatique et l'analyse du comportement des attaquants pour traquer automatiquement les menaces dans l'ensemble de l'entreprise, depuis cloud et les charges de travail du centre de données jusqu'aux utilisateurs et aux appareils IoT.
- La plateforme offre une visibilité en temps réel du trafic réseau en extrayant les métadonnées des paquets plutôt qu'en effectuant une inspection approfondie des paquets, ce qui permet une protection sans indiscrétion.
- La plateforme met en corrélation les métadonnées du réseau avec d'autres sources de données et crée des outils et des modèles personnalisés pour détecter, enquêter et chasser. Les métadonnées sont stockées pour faciliter les enquêtes rétrospectives sur les menaces ou les incidents.
La plateformeVectra prend en charge la grande majorité des fonctions et sous-fonctions de détection et de réaction identifiées dans le cadre du NIST comme des priorités pour la protection des infrastructures critiques. Le cadre restera probablement neutre vis-à-vis des fournisseurs et ne mentionnera jamais le nom de Vectra . Néanmoins, Vectra constitue un argument convaincant dans le contexte du cadre : augmenter de manière exponentielle la sophistication et la puissance des équipes de sécurité tout en réduisant les risques associés aux cyberattaques.
Vectra est à l'avant-garde
Comme je l'ai mentionné au début, le bon cadre peut parfois changer votre vision d'une image. Le cadre et ses variantes en dehors des États-Unis, dont la plus importante est le NIS2 de l'UE, sont en train de devenir des ouvrages de référence, qui permettent de mieux comprendre la cyberdéfense. Il impose ordre et logique à un paysage désordonné, parfois teinté de peur.
Cette évolution représente une opportunité de premier ordre pour Vectra AI. Lorsqu'il s'agit de mettre au point les meilleures technologies alignées sur le cadre NIST, nous sommes à l'avant-garde. La plateforme Vectra permet aux équipes de sécurité de mieux se défendre contre des attaquants de plus en plus sophistiqués. Plus le cadre NIST est mis en avant, plus les arguments en faveur de Vectra sont convaincants - et plus nous nous rapprochons de la réalisation de la vision de Vectra : faire du monde un endroit plus sûr et plus juste pour faire des affaires.
[Keri Pearlson et Nelson Novaes Neto, "7 Pressing Cybersecurity Questions Boards Need to Ask", Harvard Business Review, 4 mars 2022.
[2] "NIST Seeks Comments on Cybersecurity Framework Refresh", National Law Review, 10 mars 2022. https://www.natlawreview.com/article/nist-seeks-comments-cybersecurity-framework-refresh
[3] NIST, "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1", Executive Summary, 16 avril 2018. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
[4] Présentation PowerPoint du NIST, "The Cybersecurity Framework Version 1.1", octobre 2019. https://www.nist.gov/cyberframework/framework