Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Un état des lieux… pour reprendre le contrôle !

Juin 2, 2021 | Cyber Security | 0 commentaires

Une organisation de plus en plus complexe, une équipe IT qui ne sait plus où donner de la tête… La sécurité est mise à mal. Un état des lieux s’impose.

Un état des lieux plutôt qu’un audit. L’état des lieux permet d’évaluer la maturité sécuritaire de l’entreprise, à un instant T; il s’agit d’une vue globale. Par opposition, un audit est généralement très ciblé, ne couvrant qu’une partie des processus et contrôles en place.

Aujourd’hui, cet instantané est plus que nécessaire. «La pandémie que nous traversons en est un révélateur. Du jour au lendemain, notre façon de travailler a été bouleversée. Avec la généralisation du télétravail, la surface d’attaque s’est considérément élargie sans que cela ne soit anticipé. L’urgence a été à l’accès, au détriment, trop souvent de la sécurité», synthétise Maxime Rapaille, Cyber Security Director, Cyber Security Management.

Un an plus tard, les responsables IT reconnaissent manquer de vision. «La question du moment se résume à ‘sommes-nous dans la bonne voie ?’, estime Nicolas Boucquillon, Regional Sales Manager, Cyber Security Management. Nombre d’organisations ont accumulé les technologies -certaines efficaces, d’autres moins- souvent sans cohérence, sans réelle stratégie. Et il leur en coûte… Désormais, les entreprises veulent qu’on les écoute. Elles ont de nombreuses questions… et trop peu de réponses !»

Etat des lieux : au départ, une photographie

Ce n’est pas un monologue pour autant. L’état des lieux permettra de cerner les besoins, d’identifier les urgences, de prioriser les actions. Et, in fine, d’avoir un ordre de marche s’inscrivant dans une perspective. Maxime Rapaille parle de «photographie» du niveau de sécurité d’une entité en évaluant la conformité des mesures de sécurité techniques et organisationnelles et en testant la robustesse technique d’une infrastructure ou d’un service.

«Si nous sommes généralement approchés par l’IT, nous visons prioritairement les enjeux opérationnels, développe Yves Mathys, Regional Sales Manager, Cyber Security Management. Sur la base d’entretiens avec des interlocuteurs des principaux métiers de l’organisation et, bien évidemment le management, nous identifions leurs principaux enjeux de sécurité, les principales menaces, les ressources manipulées, les besoins en sécurité et les risques encourus. C’est un scan des vulnérabilités tant internes qu’externes.» Et Maxime Rapaille de renchérir : «cet état des lieux doit être un business-enabler !»

Une feuille de route reposant sur les normes ISO.

La collecte des informations permettra d’établir une cartographie de sécurité des ressources informatiques critiques, d’identifier les principales menaces susceptibles d’impacter les activités et de référencer les contraintes légales, réglementaires et contractuelles. Il en résultera une feuille de route structurée sur la base des normes ISO.

Souvent, constate encore Nicolas Boucquillon, la discussion débute au départ d’une solution. «Nos interlocuteurs mettent en avant une proposition technologique, comme un EDR par exemple. Et de la présenter comme le sésame. Ce qui signifie encore qu’ils en attendent beaucoup, voire tout… D’autres comptent investir directement dans la réalisation de tests de pénétration. C’est oublier qu’un pentest ne donne que l’information sur une ou deux faiblesses, mais pas de quoi avancer globalement. Le pentest doit venir en fin d’action, pour vérifier que ce qui a été mis en place est bon… En nous intéressant plutôt à la stratégie, on identifie les risques pour répondre à la maladie et non aux symptômes. C’est le propre d’un état des lieux.»

A l’arrivée, une boussole !

Une fois les actifs les plus importants identifiés, il s’agira de préciser ce qui constitue une menace pour eux. Cette étape est essentielle, car les problèmes auxquels l’entreprise pourrait se heurter sont de tous ordres : du mot de passe insuffisamment protégé par ses employés et la violation de données, jusqu’aux incendies et inondations, parmi les catastrophes possibles. Si l’état des lieux doit effectivement prendre en compte toutes les menaces, la liste peut être illimitée, puisqu’il est impossible de se protéger contre toutes les menaces imaginables. Néanmoins, tant que l’entreprise place au premier plan ce qui est absolument crucial pour sa gestion quotidienne, elle prend toutes les mesures raisonnables pour protéger ses employés et elle-même contre d’éventuelles cybermenaces.

A l’issue des échanges, l’organisation reçoit un document clair mettant en avant les actions à mener. Un véritable ordre de marche reposant sur trois volets : impact, priorités et efforts requis. «Une photo au départ, une boussole à l’arrivée !», illustre encore Maxime Rapaille.