Cyber ​​hygiène : parce que prévenir est toujours plus facile que soigner

La cyberhygiène offre une approche préventive des attaques futures afin d’éviter les incidents coûteux de remédiation et de récupération – tout comme l’hygiène dentaire recommande l’utilisation de la soie dentaire et le brossage pour éviter les caries ultérieures et les procédures douloureuses.

Demander à un bon CISO quelles applications et quels appareils doivent être inventoriés et sécurisés, c’est comme demander à un dentiste entre quelles dents vous devez passer la soie dentaire. Quatre sur cinq vous diront : « Seulement ceux que vous voulez garder ».

La cyberhygiène, bien que considérée comme un aspect clé de la cybersécuritéest également une pratique préventive distincte qui révèle les risques liés aux données, aux applications, à l’infrastructure et au réseau, en particulier ceux que nous ne recherchons pas.

Un pro de SecOps m’a raconté l’histoire de son premier exercice d’inventaire à l’échelle du site, qui a découvert une PlayStation 5 en cours d’exécution dans une salle de pause au siège. Cela peut ne pas sembler un gros problème, mais cette console de jeu est également un ordinateur à part entière qui peut voir les systèmes de fichiers et les périphériques sur le réseau de l’entreprise, capturer des images et du son de la pièce, surfer sur des sites Web et télécharger des mises à jour logicielles automatiques.

La prévention est plus facile que le traitement si nous pouvons nous souvenir de le faire. Nous savons tous qu’il serait plus sûr de prévenir les risques et les failles grâce à la cyberhygiène sur tous nos terminaux plutôt que de les corriger une fois qu’ils sont déployés dans l’ensemble de la production et exposés aux attaquants.

Alors pourquoi la cyber-hygiène n’est-elle pas une bonne habitude à laquelle toutes les entreprises peuvent adhérer ?

Les enjeux culturels des mesures préventives

Travaillez quelques années dans n’importe quelle entreprise de taille décente qui s’appuie fortement sur sa dorsale numérique, et vous trouverez des processus préventifs qui entravent le progrès.

Peut-être s’agit-il d’une exigence de test unitaire draconienne qui produit des milliers de résultats dénués de sens et échoue les builds. Ou un processus fastidieux d’approbation des modifications. Ou un gel de code obligatoire qui fait que les équipes de développement manquent régulièrement des fenêtres de livraison.

Les équipes DevSecOps qui ont connu de tels enchevêtrements craignent également qu’une trop grande surveillance de la sécurité puisse bloquer les versions et entraver les améliorations innovantes pour les clients lorsque le délai de mise sur le marché signifie tout.

Peut-être que si la cyber-hygiène était une priorité au niveau de la direction, la prévention s’améliorerait. Malheureusement, une étude récente sur la cybersécurité par Tanium ont constaté que 63 % des personnes interrogées ont déclaré que la direction ne se souciait de la cybersécurité qu’à la suite d’un incident, tandis que 79 % ont déclaré que les dirigeants étaient plus susceptibles d’approuver davantage de dépenses de cybersécurité à la suite d’une violation. Ouais.

Les pratiques et les outils de cybersécurité sont souvent concernés par la protection contre les attaques extérieures – mise en place de périmètres de réseau sécurisés, création de politiques d’accès, d’autorisation et d’authentification, détection des attaques et surveillance des réseaux et des systèmes pour détecter les signes révélateurs des comportements de menace et des violations de données en cours.

En revanche, la cyberhygiène adopte une approche holistique de la prévention. Cela peut commencer par une solution de diagnostic telle qu’un l’évaluation des risquesmais une bonne hygiène représente également les plans de gestion, les politiques des employés et la posture de sécurité de l’ensemble de l’organisation autour du maintien de pratiques technologiques sécurisées sur tous les actifs informatiques de l’entreprise.

S’il est bien fait, cela devrait devenir une partie légère du fonctionnement de l’entreprise. Faire de la cyberhygiène une seconde nature peut nécessiter un peu d’évangélisation et de planification initiale, mais une fois en place, cela facilitera en fait les versions de logiciels, les migrations et les mises à jour des logiciels et de l’infrastructure sur site et dans le cloud.

Les bonnes habitudes qui font le succès de la cyberhygiène

La plupart des failles de sécurité (n’importe où 88–95%, selon la recherche que vous trouvez) impliquent un certain degré de causalité humaine.

Par conséquent, les organisations ayant une forte posture de cyber-hygiène présentent plusieurs pratiques courantes qui intègrent des changements dans les personnes, les processus et la technologie – dans cet ordre:

Éducation et changement de comportement. Les cyberattaques les plus réussies franchissent la porte d’entrée, utilisant une combinaison de phishing, de vol d’informations d’identification, de téléchargements frauduleux et d’ingénierie sociale plutôt que la force brute pour entrer.

La sensibilisation à la cyberhygiène et à la sécurité devrait faire partie de la formation de base de chaque employé, et des ressources pédagogiques devraient également être fournies aux clients pour les aider à reconnaître et à éviter les menaces potentielles. L’éducation est le meilleur moyen d’atténuer la faillibilité humaine et d’empêcher les charges utiles malveillantes de compromettre vos systèmes.

Découverte continue et gestion des stocks. La première exécution d’une découverte automatisée apportera sans aucun doute de nombreuses surprises et vulnérabilités inattendues. Mais la découverte n’est pas une vérification de conformité ponctuelle, en particulier dans les environnements informatiques cloud et hybrides en constante évolution d’aujourd’hui. De nouvelles instances cloud éphémères, des terminaux d’appareils et des logiciels peuvent être introduits à tout moment dans l’environnement d’exploitation.

Une fois que chaque actif informatique est exposé à la lumière du jour, les responsables de la sécurité et des services ont besoin d’un inventaire de l’environnement actuel, en vue d’une maintenance régulière, de mises à jour et d’un démantèlement en fin de vie de tout actif ayant dépassé sa durée de vie.

Triage et priorisation. Même avec la meilleure configuration d’analyse des vulnérabilités et de détection des menaces, aucune entreprise n’aura jamais suffisamment de professionnels de la sécurité et de l’ingénierie SRE qualifiés pour répondre à 100 % des problèmes potentiels.

Les organisations doivent hiérarchiser les problèmes détectés, à l’aide d’un système de notation des risques qui prend en compte la criticité de l’actif pour les activités en cours, la valeur des données qu’il traite, ainsi que son niveau d’intégration avec d’autres systèmes ou son exposition au monde extérieur. Un ancien système qui n’est plus connecté à rien peut attendre d’être mis hors service, tandis qu’un magasin de données critiques contenant des informations privées nécessite une attention immédiate.

Politiques de confiance zéro signifie que chaque utilisateur est considéré comme non approuvé par défaut et est donc bloqué d’accès sans autorisation explicitement définie dans les systèmes IAM (gestion des identités et des accès).

Les politiques de confiance zéro ne doivent pas seulement couvrir les utilisateurs. Ils doivent également être étendus à chaque point de terminaison de l’appareil. Les appels d’API d’un dispositif médical sur un réseau hospitalier ou une requête d’un microservice dans AWS ou GCP ne devraient pas pouvoir déclencher une réaction en chaîne. En pratique, cette politique comprend souvent une moindre privilège d’accèsmodèle, où chacun des terminaux ne peut accéder qu’aux ressources minimales nécessaires pour prendre en charge une fonction métier.

La prise Intellyx

Une chose est certaine : les cybercriminels et les pirates n’ont pas négligé l’expansion de la surface d’attaque de l’entreprise que tant de changements ont créée.

Dans un monde d’applications moderne où les instances cloud et les points de terminaison vont et viennent en un instant, la sécurité et la résilience peuvent souvent être négligées au profit de la rapidité de mise sur le marché, de l’évolutivité et des problèmes d’interopérabilité.

N’ayez pas une vision étroite de votre organisation au-delà des panneaux d’avertissement préventifs et des garde-corps qu’une solide pratique de cyber-hygiène peut offrir.

Découvrez comment Tanium rassemble des équipes, des outils et des flux de travail avec un Plate-forme convergée de gestion des terminaux.