Finies les salles de guerre du week-end : passez d’une sécurité réactive à une sécurité proactive

Les cyber-attaquants du monde entier affichent un niveau de sophistication croissant. Il s’agit d’un problème majeur pour les RSSI australiens et leurs équipes qui manquent souvent des ressources nécessaires pour faire face à des attaques plus fréquentes et complexes par des cybercriminels disposant de ressources suffisantes.

Dans le même temps, les anciens centres d’opérations de sécurité (SOC) traitent un volume d’alertes ingérable. Cela conduit à une «fatigue d’alerte» qui ralentit les processus clés et permet de passer plus facilement à côté de problèmes potentiellement importants qui pourraient être enfouis dans le bruit. L’embauche d’une armée d’ingénieurs en sécurité pour faire face à ces défis est également coûteuse et n’est pas évolutive.

Les SOC utilisent également trop de produits de sécurité (une entreprise moyenne peut déployer des dizaines de produits de cybersécurité), et nombre d’entre eux s’appuient sur des processus manuels pour les opérations quotidiennes ainsi que pour gérer les incidents. Beaucoup trop de tâches subalternes nécessitent une interaction humaine importante et un labeur qui peut être abrutissant.

Des cadres supérieurs de la technologie se sont réunis récemment pour une discussion sur les moyens de passer d’un environnement de cybersécurité réactif à un environnement de cybersécurité plus proactif. La conversation a été soutenue par Palo Alto Networks.

Les participants ont d’abord été interrogés sur la manière dont ils assurent la cohérence de la posture de sécurité qui empêche la perte de données sensibles et les logiciels malveillants sur tous les flux de trafic, quel que soit l’endroit où l’utilisateur travaille ou les applications auxquelles il accède.

Leonard Kleinman, directeur de la technologie Cortex chez Palo Alto Networks, informe les participants que le point de départ pour parvenir à une posture de sécurité raisonnable est d’avoir une visibilité sur tous les aspects de l’environnement opérationnel.

« Après tout, vous ne pouvez pas protéger ce que vous ne pouvez pas voir ou ne savez pas. Mais l’approche serait de s’efforcer d’obtenir une visibilité ou une télémétrie de toutes les sources. Ceux-ci incluent le réseau, les terminaux et le cloud, indépendamment de l’emplacement, de l’identité ou de l’appareil.

« Une telle plate-forme unifiée offre une immense flexibilité pour atteindre divers objectifs liés, par exemple, à la conformité réglementaire et à la gouvernance, à la réponse aux incidents et à la prévention des pertes de données. Plus il y a de sources, plus la télémétrie est riche, meilleur est le contexte. Cela permet de prendre des décisions plus rapides et plus éclairées pour la détection et la réponse », déclare-t-il.

Ian Palmer, responsable de l’ITDS à l’UTS College, affirme que la posture de cybersécurité du fournisseur d’enseignement est basée sur le risque d’accès et d’utilisation des données.

Actuellement, les applications qui contiennent des données personnelles sont sécurisées par les pare-feu de l’organisation, tout utilisateur nécessitant un accès à l’aide d’un ordinateur portable UTS College doté d’un VPN vers les pare-feu.

« Cela nous offre une protection quel que soit l’endroit où l’utilisateur travaille, car l’accès à nos appareils dispose d’une authentification multifacteur (MFA), en fonction des facteurs de risque présentés. Tout le trafic, y compris le trafic Internet, passe par les pare-feu, mais nous ne constatons aucune dégradation du service avec une excellente bande passante », déclare-t-il.

Nabil Saleh, directeur de l’information au conseil municipal de Woollahra, affirme que son organisation maintient une posture de sécurité cohérente en ne permettant pas au personnel d’apporter ses propres appareils au travail et en leur fournissant des appareils gérés avec un accès VPN. Cela interdit le split tunneling pour s’assurer que tout le trafic est contenu et crypté, dit-il.

« L’accès VPN fournit un environnement d’exploitation standard centralisé qui est le même, quel que soit l’emplacement. Les appareils disposent d’une sécurité de point de terminaison XDR pour garantir la conformité avec nos politiques de sécurité.

« En ce qui concerne la fuite de données sensibles, par opposition à la perte, cela peut se produire quels que soient les contrôles en place et dépend de la diligence de l’utilisateur à protéger les données contre tout accès non autorisé », a-t-il déclaré.

Ashwani Ram, directeur général, infrastructure et opérations de cybersécurité chez Chartered Accountants Australia and New Zealand, estime que les logiciels malveillants, par exemple, sont plus faciles à gérer de nos jours en raison du regroupement des outils EDR et XDR avec le centre d’opérations de sécurité géré (SOC ) prestations de service.

« Bien sûr, vous devez superposer cela avec l’intelligence EDR/XDR et la sécurité DNS afin que les utilisateurs aient moins de chances d’être détournés vers des sites suspects en premier lieu.

« Les plates-formes d’accès aux applications et de navigation Web Zero Trust avec gestion des menaces DNS et sécurité Web fournissent des services VPN sécurisés. Cela signifie que les utilisateurs peuvent sortir de la maison et travailler depuis leur cafétéria préférée et être productifs – c’est ainsi que nous devons renommer et vendre la sécurité des terminaux », dit-il.

La perte de données sensibles est un problème plus difficile et complexe, ajoute Ram.

« Avant de pouvoir empêcher la perte de données, nous devons d’abord être en mesure de surveiller les données à toutes les étapes, de la création à la destruction. Une fois que nous aurons mieux compris ce cycle et son utilisation, nous devons adopter une approche à deux volets : l’éducation et l’outillage.

« Tout comme nous disons que les gens sont les meilleurs pare-feu, c’est également le cas lorsqu’il s’agit de prévenir la perte de données », dit-il.

Le travail hybride introduit de nouveaux risques

Certains participants ont déclaré avoir revu leurs modèles de risque au fur et à mesure que les travailleurs quittent le bureau pour se rendre chez eux et dans d’autres endroits éloignés situés en dehors de leur périmètre de réseau.

Palmer, de l’UTS College, affirme que l’organisation a entrepris des examens internes des risques et des audits externes de sa posture de cybersécurité pour s’assurer que les risques peuvent être gérés là où il n’y a pas de périmètre réseau.

« Nous essayons d’évoluer vers un modèle de confiance zéro et avons mis en place des capacités majeures pour nous assurer que nous sommes protégés par des couches de sécurité », déclare Palmer.

Saleh, du conseil municipal de Woollahra, a déclaré que l’organisation avait procédé à une évaluation des risques liés au travail à distance et avait formé le personnel grâce à une formation de cybersensibilisation sur les « dos et les choses à ne pas faire » du travail à distance. L’accès à distance au conseil est également conforme aux exigences de l’ACSC Modèle de maturité des huit essentielsil dit.

Kleinman de Palo Alto ajoute que la gestion des risques est un paradigme dynamique et qu’il évolue constamment.

« La réalité est que le risque dans les affaires ne peut jamais être vraiment éliminé, mais l’identification et la minimisation des risques peuvent être très bénéfiques », dit-il.

La transition vers le «travail de n’importe où» est un excellent exemple du type de risques dynamiques et réfléchis auxquels les entreprises sont confrontées à mesure que leurs activités grandissent, se développent et réagissent pour rester compétitives, dit-il.

Lorsqu’il s’agit de réévaluer les risques, Kleinman suggère que les organisations doivent commencer par se demander « quels sont les objectifs et quels sont les risques qui auront un impact sur la capacité de l’organisation à atteindre ces objectifs ?

« La révision régulière du modèle de risque et du plan de gestion des risques est essentielle pour identifier les nouveaux risques, élaborer de nouveaux plans de traitement et ensuite surveiller leur efficacité », dit-il.

Une voix à la table du conseil

Il ne fait aucun doute qu’au cours des dernières années, les conseils d’administration des entreprises sont devenus plus conscients des risques pour leurs organisations liés aux cyberattaques, ainsi que de leurs responsabilités potentielles à la suite d’une violation.

Kleinman convient que le principal changement de ces derniers temps est clairement le niveau de responsabilisation et de responsabilité des conseils d’administration pour les risques liés à la cybersécurité, dont une grande partie découle de l’augmentation des nouvelles réglementations et législations.

« Il y a une prépondérance de données qui appuient la position et la plupart des membres du conseil en sont parfaitement conscients. Cependant, de nombreux membres du conseil d’administration considèrent toujours le cyber comme une boîte noire avec une cyber-alphabétisation et une expérience qui fait cruellement défaut », dit-il.

Kleinman dit qu’une étude récente sur les compétences en cybersécurité des chefs d’entreprise de l’ASX 100 a révélé que seulement 1% des administrateurs non exécutifs responsables de la gouvernance globale et de la direction stratégique avaient une expérience en matière de cyber.

« Je pense que la conversation doit passer d’une conversation axée sur « comment devenons-nous conformes » à une conversation sur la compréhension des objectifs de l’entreprise et des risques qui auront un impact sur la capacité d’une organisation à atteindre ces objectifs.

« L’histoire nous a montré que le simple fait d’être conforme ne signifie pas être en sécurité. En supposant qu’un CISO de qualité ait accès au conseil d’administration ou y siège, il devrait s’efforcer d’avoir la bonne conversation sur le cyber-risque pour s’assurer qu’il est intégré dans le programme plus large de gestion des risques d’entreprise et d’autres activités de gouvernance d’entreprise », dit-il.

Il ajoute que les conseils d’administration doivent s’assurer qu’ils ont des conversations fréquentes avec le RSSI en examinant en permanence l’état de la cybersécurité dans l’ensemble de l’entreprise.

« Par exemple, les leçons tirées des incidents de sécurité sont inestimables pour combler les lacunes et mettre à jour les plans d’intervention. Cependant, je pense également que le fait d’aborder les connaissances/l’expérience en matière de cyber au niveau du conseil d’administration constituerait une meilleure augmentation de la composition du conseil d’administration que de simplement compter sur le RSSI. »

Chartered Accountants Australia and New Zealand’s Ram, ajoute que malheureusement, le CISO n’a voix au chapitre à la table du conseil que par l’intermédiaire du CIO.

Cela change lentement, dit-il.

« Je pense que les conseils d’administration ont réalisé qu’ils devaient comprendre la cybersécurité, mais ils ont du mal à la comprendre. Cependant, pour leur défense, je pense que les RSSI doivent également s’améliorer pour traduire les risques en termes commerciaux et les présenter dans un langage que le conseil d’administration connaît et comprend.

« Je pense également qu’il existe une opportunité pour l’équipe de gestion des risques d’entreprise de mieux s’interfacer avec l’équipe de cybersécurité pour aider à traduire les cyberrisques en risques commerciaux aux niveaux stratégique et opérationnel. Je pense qu’une fois cette interface améliorée, nous serons mieux placés pour aider le conseil à comprendre les cyber-risques », déclare-t-il.

Palmer de l’UTS College dit qu’au cours des deux dernières années, le conseil d’administration de l’organisation a pris conscience de la responsabilité personnelle qu’il détient désormais en cas de violation.

« Les grandes entreprises se sont entretenues avec le conseil d’administration pour leur faire comprendre l’impact du cyber, ce qui leur a donné plus de visibilité », dit-il.

Palmer fait rapport au comité d’audit et des risques (ARC) d’UTS sur la cybersécurité sur une base trimestrielle et interrogé sur les risques ou menaces perçus.

«De plus, des audits externes sont effectués régulièrement par des organisations indépendantes pour s’assurer que nous couvrons les risques qui sont fournis directement à l’ARC. Le fait d’avoir l’ancien directeur informatique d’UTS au sein de notre conseil d’administration et de l’ARC a créé une plus grande prise de conscience et une compréhension plus profonde [of cyber issues], » il dit.

Saleh, du conseil municipal de Woollahra, déclare qu’après avoir permis avec succès le travail à distance dès le premier jour de la pandémie, le conseil reconnaît la valeur que l’informatique offre aux entreprises en temps de crise et, dans une certaine mesure, les risques associés.

«Grâce à la formation de sensibilisation du conseil d’administration et de l’équipe de direction, tous les membres sont plus conscients des risques de cybersécurité qu’auparavant. De plus, il y a quelques mois, un incident de cybersécurité a touché une organisation similaire et a fait la une des médias. Par conséquent, notre conseil est très conscient des dommages à la réputation qu’un incident cybernétique peut causer. Par conséquent, accordez suffisamment d’attention aux exigences de sécurité lorsqu’elles sont présentées lors de réunions », dit-il.