Gestion des risques de sécurité : les éléments manquants des stratégies SSI
À la base, la cybersécurité consiste à identifier les risques et à trouver les moyens de les atténuer. En ce sens, les entreprises et leurs équipes expriment souvent le risque en termes de ressources à protéger. C’est donc en toute logique que dans l’univers IT, la gestion du risque place les données au centre de tous les enjeux (confidentialité des données, fuite de données, perte de données, etc.). Pourtant, la mission des RSSI s’étend bien au-delà de la data. Mais alors, quels autres éléments faut-il inclure à la stratégie de gestion des risques de sécurité ?
La protection des données et l’élimination des vulnérabilités connues forment des piliers essentiels de tout programme de cybersécurité. Mais ils sont loin d’en être les seules composantes. Pour être efficaces, les stratégies SSI se doivent d’adopter une approche véritablement complète de la gestion des risques.
Outre les données qu’elles génèrent et consomment, les entreprises possèdent de nombreux équipements, à l’image des objets connectés (IoT), qui échappent à la supervision directe de la DSI. À l’heure où les dispositifs IoT et OT occupent une place de plus en plus prépondérante dans nos sociétés, les interruptions de service représentent – au même titre que la perte de données – un risque incontestablement majeur. Pour un établissement de santé, par exemple, la panne ou l’indisponibilité d’équipements médicaux représente un enjeu littéralement vital dans certaines situations.
Problématiques de la gestion des risques de sécurité
À l’instar des menaces et des configurations d’équipements, qui évoluent en permanence, l’IT représente un domaine en mutation constante.
La gestion des risques n’échappe pas non plus à cette règle. Elle constitue d’ailleurs une discipline très dynamique, qu’on aurait tort d’aborder comme un simple exercice à pratiquer à intervalles réguliers. Pour évaluer les dangers, les équipes doivent prendre en considération plusieurs dimensions du paysage IT et IoT (utilisateurs, applications, sites de déploiement, comportements, etc.), toutes susceptibles de connaître des variations régulières.
La gestion des risques de sécurité se confronte ainsi à plusieurs problématiques, à commencer par la taille et la complexité de l’environnement IT et IoT. Aujourd’hui, les RSSI peuvent être rapidement submergés par un déluge d’informations et de données issues d’un volume croissant d’équipements, dont chacun présente une surface d’attaque qui lui est propre. Or, il peut être complexe de recenser et de documenter précisément l’ensemble des ressources IT et IoT de l’entreprise en général, et les risques spécifiques qu’elles représentent en particulier. Dans le contexte d’infrastructure distribuée, la gestion d’une multitude de politiques, d’appareils et de contrôles d’accès n’est clairement pas une mince affaire.
Une meilleure stratégie de gestion des risques de sécurité
La gestion des risques de sécurité ne s’apparente ni à une tâche ponctuelle, ni à un outil unique. Elle doit s’inscrire dans le cadre d’une stratégie intégrant plusieurs composantes indispensables afin de combler les failles et de mettre en place les conditions propices à l’atteinte des objectifs fixés.
Visibilité.L’élimination des failles passe par un état des lieux précis de l’environnement. Mais attention : la gestion des ressources IT et IoT ne se limite pas à l’identification des équipements gérés. L’entreprise doit également recenser ses appareils IoT non gérés et déterminer quels systèmes d’exploitation et quelles versions de leurs applications sont présents à tout moment.
Surveillance continue.Le risque n’est jamais statique. D’où l’importance d’une surveillance permanente de tous les changements (utilisateurs accédant au réseau, emplacement des équipements, comportement des applications, etc.).
Segmentation réseau.En cas d’incident de sécurité, tout l’enjeu consiste à en limiter l’onde de choc. C’est là que la segmentation réseau intervient. Elle permet d’isoler les services et équipements de différents segments, rétrécissant ainsi la surface d’attaque et évitant que lesdispositifs IoT inconnus et non gérés ne servent de porte d’entrée vers d’autres parties de l’infrastructure. L’incidence d’un exploit se cantonne ainsi au segment réseau compromis, sans affecter l’organisation tout entière.
Prévention des menaces.À l’image des technologies de protection des terminaux et du réseau, la prévention des menaces forme également l’un des piliers d’une stratégie efficace de gestion des risques de sécurité. Prévenir les attaques potentielles, c’est d’abord configurer des politiques adaptées et soumettre les accès au principe du moindre privilège sur les terminaux (y compris l’IoT), sans oublier les technologies de protection du réseau.
À grande échelle, tous ces leviers ne pourront être actionnés qu’à l’aide du machine learning et de l’automatisation, tant la croissance exponentielle des volumes de données, des équipements et du trafic réseau dépassent les capacités humaines, tant individuelles que collectives. Inventaire rapide de la totalité de vos équipements IT, IoT, OT et BYOD pour plus de visibilité, corrélation de l’activité dans le cadre d’une surveillance continue, recommandation de politiques d’accès conformes au principe du moindre privilège, suggestion de configurations optimisées pour la segmentation réseau, renforcement la sécurité à l’aide d’une prévention proactive des menaces… les possibilités des solutions d’automatisation pilotées par ML sont immenses.