La série Vectra Masked CISO permet aux responsables de la sécurité d'exposer les problèmes les plus importants en matière de sécurité et de conseiller leurs pairs sur la manière de les résoudre.
Je l'ai vu un nombre incalculable de fois. Un autre RSSI se rend à une réunion du conseil d'administration et s'embrouille dans des statistiques montrant son statut de conformité. Super, vous êtes conforme à 75 % à la norme ISO 27001, mais qu'est-ce que cela nous apprend sur le niveau de risque ?
Le problème de la conformité à la norme ISO
En réalité, vous pouvez passer des années à mettre en œuvre les 114 contrôles de la norme ISO 27001, et un attaquant déterminé peut contourner vos défenses en quelques heures. Comme les adversaires mettent continuellement à jour leurs TTP (Tactiques, Techniques et Procédures) et trompent les employés faillibles, aucun niveau de conformité ne couvrira toutes vos bases. Alors pourquoi les RSSI s'accrochent-ils aux chiffres de la conformité comme à une vieille couverture de sécurité ?
Les conseils d'administration ont tendance à bien réagir aux signes clairs de progrès, qui sont notoirement difficiles à mesurer en matière de sécurité. Mais nous devons changer de discours. Dans l'équation classique de la gestion des risques, Risque = Menace x Vulnérabilité, je n'ai aucun contrôle sur la motivation, les compétences ou les ressources de l'auteur de la menace. Je pourrais consacrer toutes mes ressources à une stratégie de conformité complète et échouer malgré tout.
Être "à la pointe du progrès
Au contraire, les approches doivent être axées sur les menaces. Cela signifie qu'il faut identifier les actifs les plus précieux, les personnes susceptibles de cibler l'organisation, et donner la priorité aux activités visant à atténuer les risques identifiés. Les RSSI devraient mesurer la sécurité en fonction de leur capacité à découvrir s'ils ont été victimes d'une violation, en utilisant des mesures significatives telles que le temps moyen de détection d'une violation lors des tests de sécurité ou le temps moyen de détection des menaces. Les RSSI peuvent ensuite s'efforcer de ramener ces chiffres à un niveau convenu.
Pour obtenir ces données, il est essentiel d'organiser des exercices complets en équipe rouge. Les équipes rouges testent la technologie, le personnel et les processus, recherchent les angles morts et trouvent des moyens peu orthodoxes de vous pénétrer. C'est exactement comme cela qu'opérerait un acteur de menace compétent ! Cela permet d'obtenir des données inestimables sur ce qui est passé à travers les mailles du filet, de sorte que les RSSI peuvent établir des priorités en conséquence et réduire le délai moyen de détection d'une infraction. Toutefois, à l'heure actuelle, peu d'organisations se soumettent à des exercices d'équipe rouge, estimant qu'elles ne sont pas assez matures. C'est de la musique à l'oreille des attaquants, qui ne vous laisseront pas le temps de mûrir avant de frapper. Les exercices de l'équipe rouge devraient être effectués lorsque la maturité ne permet pas d'établir de meilleures priorités en matière d'atténuation des menaces réelles.
Aucun autre secteur n'investit autant sans mesurer objectivement les résultats. Vous ne conduiriez pas une voiture si elle n'avait pas été testée, alors pourquoi déployer une stratégie de sécurité sans vérifier si elle peut être contournée ? Même les régulateurs en sont désormais conscients, avec des programmes tels que TIBER-EU, qui exigent des banques qu'elles effectuent des tests en équipe rouge afin de s'assurer qu'elles vont au-delà d'une simple conformité de base.
Sensibilisation lors de la prochaine réunion du conseil d'administration
Lors de votre prochaine réunion du conseil d'administration, gardez les chiffres relatifs à la conformité en bas de page. Encouragez plutôt les parties prenantes à réfléchir à l'impact commercial d'une violation et à la probabilité que les attaquants ciblent votre entreprise. En outre, discutez de la probabilité qu'une attaque réussisse. Le PDG se souciera de faire la une du Times lorsque votre entreprise sera touchée par un ransomware. Il en sera de même pour le directeur financier, s'il est incapable d'effectuer des transactions alors que les systèmes sont en panne.
Au lieu d'essayer de montrer que vous êtes en conformité et que la livraison des projets est en bonne voie, utilisez les réunions pour discuter de vos faiblesses et présenter au conseil d'administration des options pour les atténuer - en insistant sur le budget nécessaire. Dans le contexte actuel de menaces dynamiques, les plans peuvent devoir être modifiés en cours d'année. Il est donc essentiel que le conseil d'administration comprenne les risques qu'il accepte en choisissant de ne pas investir.
Ce blog a été publié à l'origine dans The Register.