samedi 6 juillet 2013

Stratégies efficaces pour le RSSI


26 juin 2013
L’infrastructure de l’entreprise d’aujourd’hui est une aire de jeux pour les hackers, hacktivistes, les cyber criminels organisés et un champ de bataille pour les cyber soldats et les espions. Les entreprises sont dans la ligne de mire d’attaques rapides qui compromettent en un instant les données de leurs clients et sabotent des services.

Malheureusement, les basiques sécuritaires sont encore complexes à mettre en œuvre dans des systèmes d’information toujours plus distribués ou évolutifs. Quid des entreprises qui utilisent, ont mis en œuvre le guide d’hygiène informatique de l’ANSSI ou les « 20 Critical Controls » du SANS Institute ?

Les nouveaux usages numériques accélèrent la perte de contrôle et de gouvernance. Nous constatons en général que les RSSI disposent de moyens insuffisants et éprouvent des difficultés à piloter leur activité. Par ailleurs, les législations européennes en gestation relatives à la protection des données à caractère personnel auront à moyen terme un fort impact pour les entreprises de tous les secteurs, et par conséquent les entreprises doivent anticiper et saisir cette opportunité pour renforcer leur gouvernance et programme de sécurité des systèmes d’information.

Pourtant, de nombreuses entreprises continuent à gérer la sécurité de l’information au rythme d’une Élection présidentielle. La vitesse de gestion de la sécurité n’a pas suivi l’accélération grandissante des cyber menaces.



L’importance de la vitesse dans notre monde hyper connecté


Vous aurez remarqué que beaucoup de choses dans la vie deviennent plus rapides. Comme Benjamin Franklin le disait : « Le temps c’est de l’argent ». Il avait raison : plus vous allez vite sur une période donnée, plus de profits vous faîtes. De même, plus vous pensez à un conflit, plus vous aurez de chances de survivre. Les pilotes de chasse ont longtemps apprécié l’importance de la vitesse dans un combat. La vitesse vous aide à gagner, et il améliore votre profit.

La technologie rend l’entreprise plus efficace, les gestionnaires font ainsi la demande de services informatiques qui sont rapides et agiles. Malheureusement, ils ne se soucient pas assez de la sécurité pour forcer la technologie à aller plus vite. Si la sécurité ne répond pas en temps et en heure, elle est simplement ignorée.

Le résultat est que la fonction sécurité est autorisée à être gouverné à un rythme tranquille. Les architectes peuvent passer des mois à la conception de référentiels. Les consultants évaluent les risques avant de formuler des conseils. Les DSI et RSSI conduisent de longues analyses de rentabilité avant que des mesures correctives soient décidées et mise en œuvre. Cela peut prendre des mois pour corriger une faille évidente.


L’attaquant a l’avantage


Sécuriser un réseau d’entreprise est un chantier considérable. Garder la trace des actifs métiers et informatiques est un énorme défi pour les sociétés ayant des activités mondiales diverses. La gestion des risques à grande échelle est devenue bien plus difficile.

Les nouveaux usages tels que les services Cloud, les réseaux sociaux, la consumérisation de l’informatique et les appareils mobiles présentent de nouveaux défis en terme d’échelle et de complexité, exigeant une réponse qui ne peut être livrée qu’à travers une utilisation plus intelligente de la technologie.
Nos ennemis ont cependant une longueur d’avance en adoptant l’automatisation, ils peuvent nous attaquer quand ils le veulent, et il leur suffit de trouver une seule vulnérabilité pour pénétrer dans nos entreprises. C’est pourquoi de nombreux professionnels acceptent désormais que l’attaquant ait l’avantage, et que les incidents de sécurité soient devenus inéluctables.

Il ne devrait pas en être de cette façon. Le défenseur a plus de connaissances, un accès privilégié, et devrait être en mesure de trouver et de corriger les vulnérabilités avant un attaquant. Mais ce n’est pas un combat équilibré. Les pirates sont innovants, rapides et agiles, tandis que les responsables de la sécurité sont contraints par des analyses de rentabilité, des budgets et la nécessité de gagner l’accord des dirigeants de leur entreprise.

Pour changer la donne, cela nécessite une transformation du mode opératoire et des capacités de la fonction sécurité. En particulier, de nouveaux outils, de nouvelles compétences et une nouvelle attitude.


Les principaux obstacles à la vitesse: la gouvernance, les standards de sécurité et la conformité


De façon surprenante, il apparaît que le plus grand inhibiteur d’une sécurité plus rapide est la façon dont nous gérons nos activités. Les systèmes de gestion traditionnels sont enracinés dans l’ère industrielle. Ils s’appuient sur les anciens principes destinés à garantir une fabrication uniforme de produits industriels dans un environnement stable, non pas à gérer des informations intellectuelles volatiles dans un monde en évolution rapide.

Dans le domaine militaire, il est souvent dit que nos armées ont été conçues pour combattre la dernière guerre. La même chose est vraie pour la cyber sécurité. Elle est construite sur des contrôles pour atténuer les risques d’une époque révolue, quand les attaques manquaient de sophistication et visaient rarement les actifs de l’entreprise.

Le plus grand frein à la vitesse et l’agilité reste paradoxalement la gouvernance, les standards de sécurité et la conformité, qui fournissent une structure dans le chaos des affaires courantes, mais en réalité agit pour promouvoir la bureaucratie, ainsi que décourager la vitesse et la pensée originale.

  • La gouvernance opère selon une boucle de Deming lente (Plan, Do, Check, Act), construite sur des politiques, des comités et des audits. Un cycle peut prendre des années pour se terminer.
  • Les standards prennent de plus en plus de temps à être validés et mis en œuvre. Ils sont construits sur les pratiques d’un âge plus précoce, et deviennent rapidement obsolètes.
  • La conformité immortalise des pratiques établies au détriment de nouvelles idées. Des méthodes inédites ne sont pas reconnues. La conformité peut agir comme un frein à l’innovation.

Dans la plupart des domaines de la vie, plus vous gagnez en expérience et moins vous devenez tributaire des procédures, de l’encadrement, et plus vous êtes enclin à innover. Mais nos systèmes de gestion ne reconnaissent pas cela. Aux niveaux supérieurs de la maturité des processus, la bureaucratie se développe pour occuper le temps disponible. Les métriques, les objectifs et autres KPI évincent les préoccupations courantes. Les priorités deviennent des actions d’audit des années précédentes – des questions qui mettent en danger des emplois plutôt que les opérations commerciales.

Malgré ces lacunes, la conformité est là pour rester et va devenir encore plus forte dans un monde dans lequel les entreprises préfèrent ignorer la sécurité et les politiciens se précipitent pour adopter la réglementation.

Mais le point positif est que la conformité est devenue une pierre angulaire de la sécurité d’entreprise, a permis de dégager des budgets et des politiques sous-jacents, et d’opérer la fonction sécurité. Sans cela, nous aurions du mal à défendre un business case.


Conformité vs sécurité réelle


La conformité est un pauvre substitut à une réelle (ou véritable) sécurité. La conformité encourage le minimum, les réponses à des cases à cocher, et a détourné l’usage des solutions. Le temps donné aux mesures de sécurité nécessaires pour répondre aux réels cyber menaces et risques n’est plus suffisant.

Se défendre contre les risques réels, surtout les nouveaux, est cependant difficile car les analyses de rentabilité sont difficilement défendables faces aux critères d’évaluation classiques. Même les correctifs de sécurité pour les expositions de longue date peuvent être difficiles à justifier jusqu’à ce qu’un incident majeur se produise – et il est alors déjà trop tard.

La sécurité réelle ne garantit pas un budget ordinaire. Le choix de solutions adaptées implique des risques politiques. Vous pourriez avoir à éteindre des serveurs, déconnecter des utilisateurs ou clients, supprimer des systèmes non sécurisés ou arrêter un projet métier majeur pour l’entreprise. Tenter cela sans le mandat fort du Conseil d’administration et vous seriez probablement licenciés.

Le fait est que nous avons besoin de la conformité et la sécurité réelle. Nous devons apprendre à reconnaître et utiliser à leurs caractéristiques différentes.

  • La conformité exige des contrôles complets afin d’atténuer des dangers communs. Elle encourage les solutions bon marché basées sur des pratiques reconnues. La vitesse importe moins que les éléments de preuve de la conformité. Les facteurs clefs de succès sont la responsabilité, la surveillance et la documentation. L’analyse d’experts importe moins que des politiques, des processus et des éléments de preuves.
  • La sécurité réelle nécessite une approche sélective basée sur l’appréciation des risques. Elle exige une compréhension des actifs métiers à risque, ainsi que des solutions efficaces pour résister aux cyber attaques ciblées. La vitesse d’atténuation est vitale pour les expositions critiques. Les facteurs clefs de succès à une véritable sécurité sont la visibilité, le jugement et la vitesse. La sécurité réelle exige des compétences, de l’intelligence et de l’autonomisation (i.e. l’octroi de pouvoir au personnel SSI).

Les différences marquées entre la conformité et la sécurité réelle nécessitent des traitements différents. Le défi consiste à mélanger ou différencier la réponse à ces exigences pour obtenir la meilleure réponse à ces deux mondes.


Vers une approche de la sécurité continue


L’approche proposée consiste à identifier et déployer des mesures qui satisfont les deux caractéristiques. C’est une approche que nous appelons « la sécurité continue », car elle combine la lenteur avec la vitesse, le nécessaire avec l’opportuniste, c’est-à-dire qu’elle mélange les exigences de conformité avec celles d’une sécurité réelle. Bien que de nombreuses caractéristiques de la conformité et de la sécurité réelle puissent sembler contradictoires, il existe souvent des éléments communs dans les solutions de sécurité qui peuvent être déployées.

L’adoption d’une approche à plusieurs niveaux pour les contre-mesures permet une plus grande vitesse et une application des ressources aux risques prioritaires, tout en répondant aux exigences de contrôles complets de la conformité. Utiliser une méthode d’évaluation des risques employée sur une base en temps quasi-réel satisfait les attentes de conformité pour les normes reconnues, ainsi que la nécessité d’une approche prioritaire pour contrer les menaces réelles de sécurité sur une base continue.

Une caractéristique malheureuse de la conformité est qu’elle encourage les entreprises à considérer les solutions de sécurité comme des produits de commodité, avec de nombreuses solutions de plus en plus choisies sur la base des prix plutôt que de l’expertise. C’est très bien pour cocher la case de conformité, mais cela peut exposer l’entreprise à des risques complexes nécessitant un niveau élevé de connaissances pour l’identifier et l’atténuer. La réponse consiste à sélectionner des technologies de sécurité qui combinent l’expertise, la vitesse et l’économie.

Par exemple, les solutions comme les systèmes de workflow et les services Cloud sont utiles pour atteindre les exigences combinées de conformité et de sécurité réelle. Les systèmes de gestion de workflow permettent de traiter rapidement les évènements et changements, mais avec rigueur et cohérence. Les services de sécurité basés sur le cloud combinent la connaissance et l’expérience d’une communauté à grande échelle avec les économies d’échelle associées à une infrastructure virtuelle.

La sécurité continue est une bonne stratégie pour assurer une utilisation optimale des ressources. En soi, cependant, elle ne peut pas toujours garantir la vitesse maximale dans les domaines critiques comme la gestion des vulnérabilités et la réponse aux incidents.


La boucle OODA


Pendant la guerre de Corée, l’US Air Force a été dépassée en nombre et en armement, mais a cependant vaincu l’opposition.
C’est à travers les tactiques et les techniques développées par le stratège militaire légendaire, le colonel John Boyd, auteur de la boucle OODA (pour « Observe, Orient, Decide, Act ») qu’ils ont pu y parvenir. De la même manière, aujourd’hui les RSSI doivent devenir des stratèges militaires pour gagner la guerre contre les cybercriminels, et mieux connaître leur environnement interne et externe.

Cette boucle n’est pas conçue pour la qualité, mais pour tuer et survivre dans un combat rapide. À première vue, elle ressemble à la boucle Deming mais elle fonctionne à un rythme beaucoup plus rapide, plus proche de la vitesse du temps de réaction humain, plutôt que le temps de gestation d’une politique ou d’un plan d’audit.

Les environnements d’avions de chasse sont conçus pour accélérer la boucle OODA. Dans le cockpit, l’information est livrée dans une forme qui est rapide à saisir. Les pilotes sont entraînés pour parcourir la boucle aussi rapidement que possible. Les contrôles sont conçus et positionnés pour permettre une réponse rapide et fiable. En utilisant ces tactiques, le colonel Boyd a formé ses pilotes à atteindre un ratio de 10 à 1 de tué par rapport à des avions de chasse ennemis supérieurs.


Transposer la boucle OODA à la cybersécurité


La cybersécurité a besoin de la boucle OODA afin de reprendre l’avantage sur les attaquants. Un état d’esprit militaire sera de plus en plus nécessaire que les fonctions de sécurité sont appelés à vaincre de nouveaux cyber attaquants, plutôt que de simplement de mettre en œuvre des exigences de contrôle.

Le facteur clef de succès d’une réponse aux incidents efficace est la possession de la visibilité et du contexte, ce qui nous permettra d’identifier les expositions, observer les événements et atténuer les risques, et en particulier apprécier leur signification et implications. Nous perdons une grande partie de cette capacité quand nous externalisons les services. Pour retrouver et renforcer notre visibilité sur les expositions et événements, nous avons besoin de travailler plus étroitement avec les fournisseurs de services externes et d’utiliser les services de tiers pour surveiller la posture de risque et la performance de la chaîne d’approvisionnement informatique.

D’autres capacités nécessaires pour compléter la boucle OODA à vitesse sont la répétition et l’octroi de pouvoirs aux acteurs. Les incidents majeurs ne se produisent pas souvent, de sorte que les gestionnaires ont besoin d’être préparés et autorisés à déclencher les mesures nécessaires. Une planification et des exercices avancés sont essentiels pour la vitesse, renforcée par des règles préétablies d’engagement et de niveaux d’autorité déléguée.


Gagner en visibilité


Le point de départ pour gagner en visibilité sur les expositions et les événements est d’établir un tableau de bord. Un référentiel central pour l’intelligence fournit le cadre pour la collecte des flux d’information des prestataires de services et est la raison d’être d’un Centre des Opérations de Sécurité (SOC). Le construire et l’information viendra.

Le SOC est constitué d’un ensemble de processus, d’analystes et de solutions, exploite de précieuses informations afin de déterminer si l’entreprise est en situation de risque. C’est un véritable outil de gouvernance et d’aide à la décision pour les RSSI, et nombreuses sont les entreprises en train de l’adopter.

Les équipements réseaux périphériques, tels que les pare-feux, les systèmes de prévention et détection d’intrusions, sont des sources évidentes d’informations. Mais l’objectif devrait être d’élargir l’horizon visible des risques et d’événements en zoomant sur les informations connues et disponibles qui peuvent fournir des renseignements et le contexte des événements et expositions.

Les systèmes d’alerte précoce permettent d’identifier le besoin d’états supérieurs d’alerte et de réduction des expositions qui pourraient permettre à une attaque de réussir. Des informations sur les vulnérabilités et les menaces, le profil de risque et des données sur les incidents contribuent à déterminer le niveau d’alerte qui est approprié.

Dans le domaine de la sûreté, il est reconnu que derrière chaque incident majeur, il existe des dizaines d’incidents mineurs, des centaines d’incidents évités de justesse et des milliers de mauvaises pratiques. Les entreprises attendent souvent un incident de sécurité majeur avant de remédier aux expositions critiques. Au contraire, nous devrions apprendre de petits événements pour éliminer la probabilité d’une violation majeure.


Contexte et profilage


Le contexte est la clef pour interpréter la signification des événements. Il est facile de tirer une mauvaise conclusion, si vous ne pouvez pas voir une image plus grande de la situation. Les incidents du même type pourraient avoir des impacts assez différents. Les dommages peuvent varier en fonction de la criticité de l’actif concerné. La légalité d’une action dépend de facteurs tels que le lieu, l’heure et les événements antérieurs. Modifier des configurations légèrement, et un événement innocent peut devenir une menace sérieuse.

La fusion des données provenant d’autres sources avec les données d’événement peut fournir une meilleure compréhension du contexte. Le profil de risque permet aux données de vulnérabilité d’être filtrées en fonction de la pertinence, du niveau de risque perçu ou la politique associée à la plate-forme en question.

Pour interpréter la signification des événements, nous pouvons exploiter des informations telles que l’heure, le lieu, des modèles de comportement précédents, les niveaux de menaces ou d’autres facteurs liés au métier de l’entreprise.


Répéter la prise de décision


Responsabiliser les décisions associées à des domaines demandant une plus grande vitesse d’exécution assure que des décisions urgentes ne sont jamais ni retardées par des cycles de gouvernance lents ni ne s’enlisent dans une masse d’actions de faible priorité.

Avec le nombre grandissant, la fréquence et la gravité des cyber attaques informatiques, il est temps de donner aux RSSI les moyens de décider rapidement et de fermer proactivement des expositions graves. Lors d’une crise en évolution rapide, il est difficile d’envisager toutes les options disponibles, d’évaluer les conséquences et de choisir le meilleur plan d’actions.

Des réponses préparées à l’avance peuvent être développées dans de nombreuses situations, même si un certain degré d’improvisation est toujours nécessaire pour répondre à une menace. Il est utile d’avoir des faits et chiffres essentiels à portée de main, des textes convenus au préalable pour la presse, et une autorisation avancée pour des réponses en dehors du périmètre de la fonction de sécurité.

La planification de scénarii permet d’avoir des alternatives et leurs conséquences pour être mieux compris. Les exercices de crise préparent les intervenants en cas d’incidents réels et identifient les outils de soutien utiles et les données qui peuvent encore accélérer la prise de décision.

Les environnements peuvent également être conçus pour accélérer la prise de décision, de la même façon que les avions de chasse sont conçus pour permettre aux pilotes de traverser la boucle OODA aussi rapidement que possible. Même des petits détails comme la taille ou la forme d’une salle auront une influence sur l’efficacité du travail d’équipe du SOC et du RSSI.


L’octroi de pouvoir, une action à effet de levier


Le pouvoir délégué permet aux équipes d’intervention d’opérer de façon décisive face à une cyber attaque grave. Au plus haut niveau de l’entreprise, l’autorité du Conseil d’administration de prendre des décisions et d’émettre des communications peut être donnée au RSSI et à l’équipe de gestion de crise.

Les règles d’engagement peuvent aussi convenir pour définir les circonstances et les limites dans lesquelles les actions à haut risque, tels que celles engageant un attaquant, peuvent être réalisée.

Mais la compétence la plus importante de toute l’équipe gestion de crise est la capacité à coopérer et à exploiter les ressources de l’entreprise, les fournisseurs de services et les autorités nationales. Nous avons maintenant une vaste infrastructure de contacts sociaux à portée de main. Nous pouvons coopérer avec des collègues, des clients ou des fournisseurs et obtenir de l’aide. Exploiter cette capacité sera l’enjeu majeur de la prochaine décennie.


Rassembler le tout


Comme nous l’avons vu, la clef de la survie dans la cyber sécurité est de reconnaître et responsabiliser les processus critiques et d’en tirer parti avec rapidité et efficacité.

Réaliser ceci nécessite un certain nombre de tactiques et de capacités. Autant que possible, nous devrions viser à développer des solutions combinées qui répondent aux exigences de conformité et de sécurité réelle. Nous devons reconnaître que la réponse aux incidents et la gestion des vulnérabilités demandent des degrés exceptionnels de rapidité et réaction. La boucle OODA est la clef pour atteindre cet objectif.

Le RSSI doit être habilité à prendre des décisions en réponse à des incidents et des expositions avec l’autorité d’une équipe de gestion de crise. Nous devrions viser à établir un tableau de bord central dans un Centre des Opérations de Sécurité (SOC) avec des flux d’information en temps réel, et exploiter la corrélation des événements et la technologie de visualisation afin de voir et comprendre les événements dans leur contexte.


Perspectives


Il est urgent que le RSSI soit considéré à juste titre comme un stratège par les dirigeants de l’entreprise. Pour cela, le RSSI doit connaître l’environnement de son organisation, et doit dialoguer avec les Métiers, doit réfléchir et agir comme un stratège militaire, doit connaître les ennemis de son entreprise et pas seulement les vulnérabilités de son organisation, à ce titre il doit penser comme un attaquant. De nouveaux outils, compétences et état d’esprit lui sont nécessaires !

Afin de démontrer sa valeur ajoutée, le RSSI doit se concentrer désormais sur la gouvernance, l’organisation, les opérations et processus, l’analyse des informations et la prise de décisions, et non plus uniquement sur la mise en place de projets technologiques. Il se doit d’apporter des solutions concrètes au développement de son organisation.

Des solutions de sécurité en mode SaaS prêtes à l’emploi existent et sont un allié pour les RSSI, et elles permettent de mieux piloter son activité, d’anticiper, de décider et réagir encore plus efficacement sur la base d’informations factuelles. Démontrer la mise en œuvre effective des politiques définies et l’efficience des investissements associés devient essentiel pour démontrer la crédibilité des professionnels de la sécurité !

Pour en savoir plus :

Les 20 contrôles de sécurité du SANS Institute sont au cœur des programmes de sécurité des agences gouvernementales américaines, anglaises, canadiennes et australiennes.
Ils fournissent des recommandations permettant aux professionnels de la sécurité de garantir la confidentialité, l’intégrité et la disponibilité des actifs informatiques.
Télécharger le livre blanc qui explique comment automatiser ces contrôles à l’aide de QualysGuard pour que votre entreprise bénéficie d’une sécurité continue tout en réduisant sensiblement ses coûts informatiques.


François Gratiolet
CSO EMEA


Fondée en 1999, Qualys Inc. est le principal fournisseur de solutions de sécurité et de conformité dans le Cloud. QualysGuard Cloud Platform, suite de solutions déployée par plus de 6,000 entreprises dans le monde, et par la majorité des entreprises du CAC 40, permet d’obtenir une vue consolidée et unifiée du niveau de sécurité et de conformité de l’entreprise.
Site web : http://www.qualys.com/

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.