La réponse à la cybersécurité nécessite le profilage des violations de données

Partie 12 de la série « Controls and Risk Management »

Tout comme les policiers suivent les indices pour trouver les coupables et les arrêter, les cyber-enquêteurs doivent suivre le fil d'Ariane pour identifier la source d'un violation de données et mesurer l'étendue des données concernées. Mais ce n'est qu'une partie du travail – et, espérons-le, pas le plus fréquent!

De manière plus proactive, et encore une fois un peu comme une force de police, le rôle du service de sécurité informatique au sein d'une organisation est de prévenir les incidents – ici une violation de données – pour protéger les informations et l'organisation elle-même.

À cette fin, la plupart des services de sécurité informatique exploitent une variété de réponses techniques à leur disposition. Par exemple:

• Masquage des données afin que les informations sensibles ne soient pas disponibles pour tous les utilisateurs

• Gouvernance des accès pour garantir que les utilisateurs sont correctement autorisés par leurs rôles et profils et que les accès permissifs sont réduits

• Connexions sécurisées avec des politiques de mot de passe – quel est l'intérêt d'avoir des outils de sécurité en place si les gens utilisent toujours «123456» comme clé pour accéder au coffre-fort (d'information)?

Pour être efficaces, les services de sécurité informatique doivent savoir à quoi ils sont confrontés. Voici où les bases de données telles que le Breach Level Index de Gemalto peuvent être aussi utiles que les archives de la police pour les enquêteurs.

The Breach Level Index « est une base de données mondiale qui suit les violations de données et mesure leur gravité en fonction de plusieurs dimensions, y compris nombre d'enregistrements compromis, le type de données, la source de la violation, la façon dont les données ont été utilisées et si les données ont été cryptées ou non . »

Malheureusement, le site a été relancé fin 2019, et la bibliothèque des violations de données n'est actuellement pas accessible; seuls les résultats du rapport final sont désormais disponibles. Espérons qu'il sera ramené sur le site à l'avenir.

Résultats de l'indice de niveau de violation

J'ai eu la chance de télécharger les informations avant la refonte du site, et j'ai décidé d'exploiter les données brutes pour étoffer les informations et identifier les modèles. Il semble que les entreprises technologiques et de médias sociaux possédant de grands volumes d'informations personnelles individuelles ont été les plus sujettes à des violations de données. Cette évaluation est un moyen de classer le score de gravité pour chaque violation, de faire la distinction entre les violations de données qui ne sont « pas graves et celles qui ont vraiment un impact. »

En regardant ce qui a entraîné la plupart des violations, il semble que «l'usurpation d'identité» soit le type d'incident le plus courant et que dans cette typologie, «l'initié malveillant» est la source la plus répandue. Comme la plupart des cyber-analystes préviennent depuis un certain temps, la menace interne est la plus difficile à contrôler et à atténuer.

Enfin, comme la base de données fournit également l'emplacement de la violation, j'ai croisé cette information avec le score de risque moyen . Bien qu'il n'y ait pas d'informations sur de nombreux pays, il n'y a pas de refuge sûr.

Que faire?

À mon avis, cette base de données permet de souligner que l'initié malveillant doit encore être considéré très sérieusement même si les réponses technologiques sont en place. Néanmoins, il existe deux types de menaces internes: erronées ou malveillantes. La base de données ne fournit pas d'informations sur l'intention derrière une violation, mais une chose est certaine: la conséquence est négative, peu importe la façon dont vous la regardez.

Comme pour la fraude, la cybersécurité est une bataille difficile car les entreprises sont très des individus ou des organisations imaginatifs et intelligents.

Je ne pense pas qu'il y ait une réponse parfaite à cette menace, mais je crois que les entreprises peuvent mettre en œuvre certaines étapes pour être sur la bonne voie:

• Évaluez la criticité de l'information accessible sans votre consentement, classez vos besoins en matière de protection des données, mettez en place un système de classification de «public» à «confidentiel» et assurez-vous qu'il est compris et appliqué de manière cohérente.

• Cartographiez vos actifs (emplacement, intention), documentez les dépendances, décrire les accès et les structures d'autorisation, et mettre régulièrement à jour ce contexte de risque.

• Identifier et documenter les menaces (y compris en exploitant des bases de données telles que celle décrite dans ce blog), appliquer un root-cau cette approche, évaluez tous les impacts (pas seulement IT!), documentez et remontez la chaîne des risques pour obtenir une image complète, et faites un rapport sur l'exposition réelle de chaque vulnérabilité.

• Mettre en œuvre un processus de gouvernance d'accès solide avec des politiques distribuées, testez votre système de défense en interne et en externe, et révisez régulièrement les rôles et les autorisations.

• Suivez les modèles pour identifier les violations au fur et à mesure qu'elles se produisent, mettez en place un processus de réponse aux incidents, partagez avec vos pairs et échangez des informations, réalisez des tests opérationnels sur les violations de données et remettez en question en permanence votre organisation de sécurité.

Bien sûr, je ne prétends pas que cela suffira. La cybersécurité est une fonction multiforme qui oblige tous les acteurs de la chaîne à participer et à agir de manière responsable – des parties prenantes internes telles que les employés aux parties externes telles que les fournisseurs qui peuvent avoir accès à une partie de votre système. Néanmoins, j'espère que cela aidera au moins à fournir quelques suggestions.

Et vous? Voyez-vous le rôle que joue la gestion des risques au sein de votre entreprise? J'ai hâte de lire vos réflexions et commentaires sur Twitter @TFrenehard .

Si vous souhaitez en savoir plus sur ce sujet et en discuter, alors jetez un œil au SAP Conférence sur la sécurité des applications et de l'information – Bâtir la confiance numérique qui aura lieu les 20 et 21 octobre 2020 à Dublin, Irlande.

En savoir plus sur le logiciel SAP pour la gestion des risques d'entreprise . Cet article a été initialement publié sur SAP Community et est republié avec autorisation.

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube