3 questions que les CISO devraient vraiment se poser
ciso-security-questions.jpg
L’objectif principal de tout Chef de la sécurité des systèmes d’information est de prévenir les conséquences de toute atteinte à la sécurité. Comme nous le savons bien, ceci est plus facile à dire qu’à faire. En fait, tout bon Chef de la sécurité des systèmes d’information doit arriver chaque matin au travail en pensant qu’une violation s’est déjà produite, et dans l’esprit qu’il doit corriger les vulnérabilités et sécuriser le système selon les standards les plus élevés. Jour après jour.
Toutefois, dans ce but, les Chefs de la sécurité des systèmes d’information doivent poser un certain nombre de questions à eux-mêmes, ainsi qu’à leurs équipes, et être prêts et préparés à y répondre afin de mettre en place les mesures les plus efficaces en matière de cybersécurité afin de protéger les données, les systèmes et les ressources en cas de violation.
1. Est-ce que mon organisation est sécurisée ?
La question peut paraître évidente, mais il y existe certains facteurs à prendre en compte. Premièrement, le Chef de la sécurité des systèmes d’information doit bien comprendre le goût du risque de l’organisation qui diffère selon les différentes organisations. Idéalement, toute lacune potentielle doit être protégée en tout temps. Mais les facteurs, tels que le budget, la structure, et la gestion des accès contribuent tous pour leur part à ce que le niveau de risque de l’organisation en question peut tolérer afin que ses affaires continuent de bien fonctionner.
Le Chef de la sécurité des systèmes d’information doit être en mesure de démontrer, sur la base d’évaluations actualisées des risques, de quelle manière les initiatives utilisées fonctionnent face aux vulnérabilités, réduisent la surface d’attaque et alignent la cybersécurité à travers l’organisation.
2. Est-ce que ma stratégie en matière de cybersécurité vaut l’investissement ?
Dans la limite des contraintes imposées par le budget et la taille de l’équipe, quelle est l’efficacité de la stratégie actuelle en matière de sécurité des TI ? Quelles sont les exigences minimums en matière de sécurité, et est-ce que je satisfais à ces normes ? Ou, si le budget actuel est insuffisant, comment puis-je quantifier les avantages d’augmenter le budget et présenter cela à la direction ?
Afin de s’assurer si les investissements dans une stratégie définie en valent la peine, il est utile pour le Chef de la sécurité des systèmes d’information d’avoir accès aux statistiques et aux rapports concernant les attaques précédentes qui ont lieu ailleurs dans d’autres sociétés ou environnements comparables, et de les analyser par rapport aux coûts (aussi bien financiers que d’une autre nature) occasionnés par une telle attaque dans leur propre organisation. Mais finalement, les mesures mises en place doivent être calibrées ? et adaptées avec les affaires et les normes sécuritaires en constante évolution alors que les réglementations futures seront mises en place par secteur et par région.
En gardant tout cela à l’esprit, le Chef de la sécurité des systèmes d’information doit avoir pleinement connaissance des options disponibles pour l’organisation afin de déterminer quelles politiques de sécurité ou quels outils correspondront le mieux aux besoins de l’organisation, et seront conformes aux réglementations comme le RGPD, la norme PCI DSS ou la directive NIS (Network and Information System Security), de la manière la plus simple et la plus coût efficace, et sans sacrifier la productivité.
3. Qui a accès à quoi ?
Les menaces internes figurent parmi les menaces les plus courantes qui affectent les organisations de toutes formes et de toutes tailles. Qu’elles touchent les employés de longue date, les membres de l’équipe travaillant à distance ou les fournisseurs externes, ces menaces ne résultent pas forcément de mauvaises intentions. Le simple fait de perdre un Post-it sur lequel sont écrits les identifiants de connexion suffit à paralyser un système sans que l’auteur ait la moindre idée qu’il est en train de mettre l’organisation en péril. En fait, 74% de tous les incidents liés à la sécurité sont à l’origine dus à des informations d’identification perdues ou dérobées. Mais les organisations perdent souvent la trace des comptes utilisateurs étant donné les mouvements de personnel ou le changement des rôles. Un outil de découverte de compte utilisateur constitue la première étape essentielle pour le Chef de la sécurité des systèmes d’information de comprendre où reposent les vulnérabilités de menace interne.
Mais en connaissant exactement qui a accès à ces éléments du système, et en s’assurant que ces personnes opèrent à un niveau de moindre privilège tout en étant toujours en mesure de faire leur travail, est un facteur essentiel pour maintenir une infrastructure IT sure, même (ou en particulier) dans de très grandes entreprises.
Gestion des accès à privilèges (PAM) est au cœur de ce défi, et figure parmi les méthodes les plus efficaces pour sécuriser l’infrastructure TI de l’organisation. C’est la raison pour laquelle le Bastion Wallix constitue un outil indispensable que les Chefs de la sécurité des systèmes d’information doivent avoir dans leur arsenal.
Avec une visibilité globale sur qui à accès à quelles ressources, et à quel moment, et le suivi de toutes les activités en vue d’un examen et d’une vérification, une robuste solution PAM résout les aspects les plus difficiles de l’infrastructure de sécurité TI.
Un bon contrôle d’accès augmente à la fois la productivité et la protection des systèmes et des données, ce qui constitue un équilibre difficile à atteindre lorsque l’on veut concilier l’efficacité et la sécurité. Cependant, WALLIX facilite le déploiement de la gestion de l’accès à privilèges sans interrompre les fonctions quotidiennes des affaires, et sans effort particulier à fournir d la part du personnel TI. En fin de compte, il offre un maximum de protection et une conformité avec les réglementations en matière de sécurité tout en maintenant une productivité optimale à travers l’organisation, et c’est que chaque Chef de la sécurité des systèmes d’information a besoin de savoir.