Démontrez la valeur de la sécurité préventive aux dirigeants avec des KPI et KRI.

sécurité préventiveLes entreprises constatent que la sécurité préventive est plus économique que de gérer une cyber-attaque.

De nombreux experts de la sécurité informatique en entreprise se sentent frustrés ne voir que leur activité n’est pas considérée comme stratégique par les dirigeants. Mais il incombe aussi, aux équipes de sécurité, de démontrer la valeur de la sécurité au conseil d’administration avec des termes et métriques compréhensibles : les indicateurs clés de performance et les indicateurs clés de risque.

Frédéric Donnat, expert sécurité et directeur technique chez SecludIT, rapporte que beaucoup de dirigeants pensent qu’un test de pénétration annuel est suffisant pour répondre à leurs obligations de conformité. « Mais cela est tout simplement faux », explique Frédéric. « Dans l’actualité très dynamique de la sécurité des réseaux, nous ajoutons une moyenne de 18 nouvelles vulnérabilités par jours à notre scanner de vulnérabilité. En ce moment, nous scannons plus de 60.000 vulnérabilités. »

 

« Et les hackers ne font pas de pause, travaillant 7 jours par semaine, pour découvrir les points faibles des entreprises. Ainsi, un test d’intrusion réalisé tous les 6 mois va être obsolète jusqu’à qu’au prochain test, soit pendant environ 182 jours ! »

Alors, comment les équipes de sécurité peuvent tenir informer la direction de la menace informatique et montrer le besoin de renforcer la sécurité ? « Automatiser, faire des tests de fond, des contrôles quotidiens » répond Frédéric, « combinés à des rapports à destination du conseil d’administration qui permettent aux administrateurs, qui ne sont pas nécessairement des experts, de comprendre les problèmes, de créer un plan d’action et de mesurer les résultats. »

 

Suivez le modèle Facebook et durcissez la sécurité dans tout ce que vous faites.

Un article récent d’un ingénieur sécurité de Facebook, Alejandra Quevedo, (lien ci-dessous) a expliqué comment la sécurité préventive est devenue une priorité au niveau du conseil d’administration pour le premier réseau social du monde.

Avec 1,7 milliard d’utilisateurs actifs, Facebook est le troisième site le plus visité du monde (Google et YouTube prennent, respectivement, les premières et deuxièmes places). « Imaginez si Facebook devait être piraté », commente Frédéric, « les 500 000 comptes de Yahoo qui ont été piraté passeraient au second plan, comme une attaque de PME. »

Quand on pense aux 75% des consommateurs qui disent qu’ils ne pardonneraient pas une entreprise qui a permis à leurs données d’être volées, cela signifie que – en théorie du moins – un méga hack peut faire perdre à Facebook plus d’un milliard d’utilisateurs. En bref, la société n’aurait plus qu’à déposer le bilan.

Voilà pourquoi Quevedo rapporte que la sécurité est si importante pour Facebook et que les équipes de sécurité ont un droit de regard sur les fonctionnalités et les services de développement. Sur la façon d’exprimer l’importance de la sécurité pour les développeurs, Quevedo offre quelques conseils : « Expliquez que votre équipe (de sécurité) peut les aider à éviter des corrections coûteuses – pas en disant non aux caractéristiques souhaitées, mais en offrant des alternatives supplémentaires. »

En traitant la sécurité en tant que partie intégrante de notre stratégie de cycle de vie du produit, nous sommes en mesure d’identifier et de prévenir les problèmes de sécurité à l’instant T et avec réalisme. Le partenariat continu entre la sécurité et la production chez Facebook n’a pas été dicté par les dirigeants de l’entreprise. Au lieu de cela, il a été forgé par les ingénieurs de leur propre chef et par les gestionnaires qui ont accepté la possibilité de collaborer ensemble pour améliorer les performances, réduire les coûts et la longueur des cycles de développement.

Alejandra Quevedo
Ingénieur Sécurité à Facebook.

 

Le passage de la sécurité réactive à la sécurité préventive.

Le CIS (Center for Internet Security) (SecludIT est un sponsor CIS) a déclinée une approche préventive en 5 points dans le but de réduire le risque de cyber-attaques de 85%.

    1. CSC 1: Inventaire des appareils autorisés ou non.
    1. CSC 2: Inventaire des logiciels autorisés et non autorisés.
    1. CSC 3: Configurations sécurisées pour les matériels et logiciels sur les appareils mobiles, ordinateurs portables, stations de travail et serveurs.
    1. CSC 4: Evaluation continue de la vulnérabilité et remédiation.
    1. CSC 5: Contrôle de l’utilisation des privilèges administrateurs.

Frédéric Donnat de SecludIT dit que le nouveau scanner KRI et ses rapports compréhensibles est le moyen le plus simple pour les entreprises afin d’évaluer leurs vulnérabilités et d’accéléré la mise en place de la méthodologie CIS.

 

Rapports KPI et KRI pour la direction.

« Quand les chefs d’entreprises lisent des articles sur des cyber-attaques comme la Banque du Bangladesh, Target, Sony et, plus récemment, Yahoo, ils prennent conscience du coût potentiel d’une intrusion dans leur réseau, » selon Frédéric, « mais ils ne connaissent pas le risque qu’ils encourent ni comment le mesurer efficacement. »
« Voilà pourquoi nous avons développé des fonctionnalités KPI et KRI dans notre logiciel d’audit de vulnérabilité Elastic Detector. Notre produit scanne en profondeur les réseaux en détectant plus de 60 000 vulnérabilités ce qui permet de mettre en lumière 4 avantages clés pour la direction et le RSSI :

    1. 1 – Métriques. Nos KRI indiquent la criticité du risque pour chaque secteur.
    1. 2 – Les risques sont prioritisés et présentés dans un format compréhensible pour les dirigeants.
    1. 3 – Un rapport d’aide pour l’équipe en charge de la sécurité afin de résoudre les failles.
    1. 4 – Des scans réguliers montrent les actions entreprises sur le réseau pour réduire les risques.

SecludIT a réalisé plus d’un million de scans réseau pour les entreprises à travers le monde, et plus de 98% de ces audits de sécurité ont identifié des vulnérabilités. Elastic Detector est facile à installer, peut être exécuté en une matinée sur la plupart des réseaux et n’a aucun effet sur la performance du réseau grâce à notre technologie de clonage.

 

 

Cybersécurité préventive. Sources :

Harvard Business Review / How Cybersecurity Teams Can Convince the C-Suite of Their Value.
https://hbr.org/2016/09/how-cybersecurity-teams-can-convince-the-c-suite-of-their-value?utm_source=twitter&utm_medium=social&utm_campaign=harvardbiz

CIS / Center for Internet Security
https://www.cisecurity.org/critical-controls.cfm

Leave a Reply