Sécurité : un état des lieux plutôt qu’un audit

Fév 28, 2022 | Cyber Security, Vidéo | 0 commentaires

Un état des lieux plutôt qu’un audit. Maxime Rapaille, de Cyber Security Management, explique la nuance. Avec l’ISO 27001 comme pivot.

Le but, en sécurité, n’est pas d’atteindre l’état de l’art, mais de gérer au mieux les risques. C’est la ligne de conduite proposée par I’ISO 27001 : intégrer la sécurité du système d’information dans un processus étendu de gestion des risques et, par là, de se concentrer sur ce qui semble essentiel à l’entreprise. D’où la notion d’état des lieux.

« Insister là où le bât blesse. » Voilà, pour Cyber Security Management, le sens de la norme. L’ISO27001 vise à inscrire la sécurité du système d’information dans une démarche en plusieurs étapes qui dépasse le simple cadre technique : analyse métier des risques du système d’information, définition d’une politique de sécurité des systèmes d’information, plan d’actions, formalisation des procédures, sensibilisation des utilisateurs, association de la direction générale…

Le niveau de maturité sécuritaire à un moment T

L’ISO 27001 fonctionne sur le modèle itératif du PDCA (Plan, Do, Check, Act). Dans Plan, la première étape, Cyber Security Management préconise donc un état des lieux. Celui-ci permet d’évaluer la maturité sécuritaire de l’entreprise à un instant T. Il s’agit d’une vue globale. Par opposition, un audit est généralement ciblé, le plus souvent axé sur des processus et contrôles en place.

« Aujourd’hui, cet instantané est plus que nécessaire, expliquait Maxime Rapaille, Cyber Security Director, au cours d’un événement axé sur les services de Cyber Security Management au Queens Brussels (*). La pandémie que nous venons de traverser en est un révélateur. Du jour au lendemain, notre façon de travailler a été bouleversée. Avec la généralisation du télétravail, la surface d’attaque s’est considérément élargie sans que cela ne soit anticipé. »

Un état des lieux pour un ordre de marche

Deux ans plus tard, les responsables IT reconnaissent manquer de vision. La question du moment se résume à ‘sommes-nous dans la bonne voie ?’ Nombre d’organisations ont accumulé les technologies -certaines efficaces, d’autres moins- souvent sans cohérence, sans réelle stratégie. Et il leur en coûte… Désormais, les entreprises veulent qu’on les écoute. Elles ont de nombreuses questions… et trop peu de réponses !

Ce n’est pas un monologue pour autant. « L’état des lieux permettra de cerner les besoins, d’identifier les urgences, de prioriser les actions, assure Maxima Rapaille. Et, in fine, avoir un ordre de marche s’inscrivant dans une perspective. » 

On peut parler de « photographie » du niveau de sécurité d’une entité en évaluant la conformité des mesures de sécurité techniques et organisationnelles et en testant la robustesse technique d’une infrastructure ou d’un service.

Une feuille de route

« Si nous sommes généralement approchés par l’IT, nous visons prioritairement les enjeux opérationnels. Sur la base d’entretiens avec des interlocuteurs des principaux métiers de l’organisation et, bien évidemment le management, nous identifions leurs principaux enjeux de sécurité, les principales menaces, les ressources manipulées, les besoins en sécurité et les risques encourus. C’est un scan des vulnérabilités tant internes qu’externes. Cet état des lieux doit être un business-enabler ! »

A l’issue, l’organisation reçoit une roadmap. La collecte des informations permet d’établir une cartographie de sécurité des ressources informatiques critiques, d’identifier les principales menaces susceptibles d’impacter les activités et de référencer les contraintes légales, réglementaires et contractuelles. Il en résulte une feuille de route structurée sur base des 114 recommandations de la norme ISO 27001.

Identifier ce qui est crucial

« On ne parle donc pas de produits, alors que la discussion peut débuter au départ d’une solution, constate Maxime Rapaille. Régulièrement, nos interlocuteurs mettent en avant une proposition technologique, comme un EDR par exemple. Et de la présenter comme le sésame. Ce qui signifie encore qu’ils en attendent beaucoup, voire tout… D’autres comptent investir directement dans la réalisation de tests de pénétration. C’est oublier qu’un pentest ne donne que l’information sur une ou deux faiblesses, mais pas de quoi avancer globalement. Le pentest doit venir en fin d’action, dans l’étape Check du modèle OSI 27001, pour vérifier que ce qui a été mis en place est bon. C’est précisément ce que propose la division CSM Refracted… En nous intéressant plutôt à la stratégie, on identifie les risques pour répondre à la maladie et non aux symptômes. »

Une fois les actifs les plus importants identifiés, il s’agira de préciser ce qui constitue une menace pour eux. Cette étape est essentielle. De fait, les problèmes auxquels l’entreprise pourrait se heurter sont de tous ordres : du mot de passe insuffisamment protégé par ses employés et la violation de données, jusqu’aux incendies et inondations, parmi les catastrophes possibles. Si l’état des lieux doit effectivement prendre en compte toutes les menaces, la liste peut être illimitée, puisqu’il est impossible de se protéger contre toutes les menaces imaginables. Néanmoins, tant que l’entreprise place au premier plan ce qui est absolument crucial pour sa gestion quotidienne, elle prend toutes les mesures raisonnables pour protéger ses employés et elle-même contre d’éventuelles cybermenaces.

Une boussole à l’arrivée

« A l’issue des échanges, nous proposons un ensemble de mesures, sous forme de quick win, soit un véritable ordre de marche reposant sur trois volets : impact, priorités et efforts requis. »  

Une photo au départ, une boussole à l’arrivée ! Bref, dans cette partie Plan, Cyber Security Management peut aider ses clients à formaliser :

  • l’évaluation du risque au regard de l’exposition et de la maturité ;
  • la feuille de route d’optimisation de la cybersécurité ;
  • le suivi et contrôle des actions de remédiation et du niveau de sécurité.

(*) Cet article est le premier d’une série de trois sur les services proposés par Cyber Security Management.

Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC