Lors de l’élaboration d’un plan de sécurité des TI, les entreprises confrontées à des budgets serrés et à un manque de personnel doivent établir des priorités. Sur quoi l’informatique doit-elle concentrer son temps et son argent lorsqu’elle essaie de prévenir les attaques de sécurité ?
Un nouveau groupe international, le Consortium for Cybersecurity Action (CCA), vient de publier une liste de contrôles critiques pour une cyberdéfense efficace afin d’aider les entreprises et agences à élaborer leur plan de sécurité informatique.
Dirigée par Tony Sager, chef des opérations à la retraite de la Direction de l’assurance de l’information de la NSA, l’objectif de l’ACC est de donner aux organisations une stratégie gérable pour prévenir et détecter les attaques. Selon l’ACC, le plan de sécurité des TI d’une entreprise devrait :
* Utilisez les données sur les attaques réelles qui ont eu lieu dans le passé pour déterminer quels sont les risques.
* Établir une terminologie et des métriques communes pour que l’informatique, les cadres supérieurs et les autres secteurs s’assurent qu’ils sont sur la même longueur d’onde.
* Faire l’objet d’une surveillance et d’une évaluation continues pour s’assurer qu’il fonctionne toujours, et
* Le premier point est d’autant plus important que les entreprises doivent établir des priorités dans leur plan de sécurité des TI – L’ACC indique que les entreprises devraient se concentrer sur les mesures qui atténuent les attaques connues et s’attaquer à la plus grande variété d’attaques auxquelles l’entreprise est susceptible d’être confrontée.
Bien que l’ordre de priorité varie d’une entreprise à l’autre, il s’agit des 20 contrôles les plus importants de la coalition pour un plan de sécurité des TI :
1.) Inventaire des dispositifs autorisés et non autorisés – Cela peut inclure des listes spécifiques de modèles de dispositifs qui sont autorisés ou interdits, ou des listes de critères auxquels les dispositifs doivent satisfaire avant d’être autorisés sur le réseau. C’est d’autant plus important que les programmes de consommation informatique et les programmes BYOD deviennent de plus en plus courants.
2.) Inventaire des logiciels autorisés et non autorisés – De même, les organisations devraient savoir quels logiciels sont autorisés sur leurs systèmes et avoir un moyen de surveiller les applications non autorisées.
3.) Configurations sécurisées pour le matériel et les logiciels – Tous les périphériques, y compris les PC, les ordinateurs portables, les appareils mobiles et les serveurs, doivent être correctement configurés pour prévenir les cyberattaques. Les pirates informatiques exploitent souvent des configurations par défaut, c’est pourquoi un plan de sécurité informatique doit inclure des procédures de vérification des configurations sécurisées avant qu’un périphérique ne soit connecté au réseau.
4.) Configurations sécurisées pour les périphériques réseau – De même, les routeurs, pare-feu, commutateurs et autres périphériques réseau doivent être correctement configurés pour se protéger contre les cyberattaques. Dans de nombreuses organisations, les configurations vulnérables s’accumulent au fil du temps à mesure que des changements sont apportés, puis oubliés.
5.) Évaluation continue des vulnérabilités et mesures correctives – Il ne suffit pas d’effectuer des vérifications de sécurité plusieurs fois par année – l’ACC recommande d’utiliser des tests de vulnérabilité automatisés pour déceler les failles de sécurité au moins une fois par semaine. L’entreprise devrait également mettre en place des procédures pour s’assurer que les vulnérabilités décelées sont corrigées en temps opportun.
6.) Défenses contre les logiciels malveillants – Les logiciels malveillants sont l’une des cyberattaques les plus courantes contre les entreprises, et un plan de sécurité informatique efficace comprendra une variété de mesures de défense, comme l’installation d’applications antimalware, la désactivation des fonctions d’exécution automatique sur les machines des utilisateurs et l’amélioration de la protection des e-mails.
7.) Applications Web sécurisées – Les pirates informatiques peuvent accéder aux réseaux en raison des vulnérabilités des applications Web. Souvent, les entreprises sont attaquées après avoir fait confiance à des applications développées par des tiers, il est donc important de les tester avant de les utiliser.
8.) Dispositifs sans fil sécurisés – De nombreuses attaques proviennent de réseaux sans fil, soit parce que des attaquants proches accèdent au réseau par Wi-Fi, soit parce que des données sont volées lorsque les utilisateurs se connectent à des réseaux sans fil non sécurisés. Les entreprises devraient surveiller le trafic sur leurs réseaux sans fil et utiliser des contrôles de sécurité au niveau de l’entreprise pour protéger les points d’accès, ainsi que créer des politiques et de la formation pour assurer une utilisation sécuritaire du Wi-Fi parmi leurs employés.
9.) Capacité de récupération des données – Les entreprises doivent s’assurer que les données sont sauvegardées au cas où elles seraient endommagées ou détruites par des cyberattaques ou autres incidents. Il est important qu’un plan de sécurité informatique comprenne des tests réguliers pour s’assurer que les données sont sauvegardées et récupérables.
10.) Évaluation des compétences en matière de sécurité et formation – Les utilisateurs et les employés des TI sont souvent trompés par des attaquants qui leur permettent d’accéder au réseau ou de transmettre des données sensibles. C’est pourquoi tous les employés de l’entreprise devraient recevoir une évaluation de leurs compétences en matière de sécurité et recevoir une formation pour combler les lacunes éventuelles.
11.) Contrôle des ports et des services – En plus des postes de travail des utilisateurs et des applications Web, les pirates informatiques peuvent accéder aux réseaux des entreprises par l’intermédiaire de serveurs Web, de serveurs de messagerie, de services de fichiers et d’impression, de serveurs DNS et d’autres services, souvent parce qu’ils sont activés par défaut à l’insu des TI.
12.) Privilèges administratifs contrôlés – Un grand nombre d’atteintes à la protection des données sont imputées aux employés d’une entreprise, soit parce qu’ils ont intentionnellement volé des données, soit parce que leur négligence a mené à une atteinte à la protection des données. Une façon de réduire le risque est de limiter les privilèges d’accès des employés à ce dont ils ont besoin pour faire leur travail.
13.) Catégorisation des données en fonction de leur sensibilité – De même, il est important de limiter l’accès aux ensembles individuels de données sensibles aux seules personnes qui ont besoin de les consulter. Pour ce faire, les entreprises doivent faire l’inventaire de leurs données et créer des catégories en fonction de leur sensibilité.
14.) Audit des comptes administratifs – Les attaques exploitent souvent les comptes d’utilisateurs inactifs pour accéder à un réseau. Les services informatiques doivent s’assurer de clôturer les comptes dès qu’ils ne sont plus nécessaires, ce qui signifie qu’ils doivent être en communication étroite avec les RH pour être immédiatement informés des changements de personnel.
15.) Défenses frontalières – Pour empêcher efficacement les attaquants d’accéder au réseau, l’ACC recommande un plan de sécurité des TI à plusieurs niveaux qui comprend des pare-feu, des procurations, des réseaux périphériques et d’autres outils, ainsi que le blocage du trafic entrant et sortant vers et depuis les adresses IP sur liste noire.
16.) Surveillance et analyse des journaux d’audit – Bien qu’il soit important de prévenir les attaques, il peut être encore plus important de détecter les attaques qui se produisent et de les empêcher de causer plus de dommages. Une façon d’y parvenir est de créer des journaux d’audit réseau réguliers et de les vérifier pour détecter les anomalies.
17.) Protections contre la perte de données – Les données tombent souvent entre de mauvaises mains après la perte ou le vol d’un appareil informatique ou leur détournement du réseau après une cyberattaque. Une protection clé contre ces deux types d’incidents : le chiffrement.
18.) Plans d’intervention efficaces en cas d’atteinte à la protection des données – La triste réalité est que des atteintes à la protection des données se produiront – mais les TI peuvent aider à protéger la réputation et les résultats financiers de l’entreprise en s’assurant qu’un plan d’intervention efficace en cas d’atteinte à la protection des données est en place avant qu’un incident ne survienne.
19.) Réseaux sécurisés – Même lorsque tous les contrôles sont mis en œuvre dans le cadre d’un plan de sécurité informatique, l’ACC affirme que des attaques peuvent toujours se produire dans des réseaux mal conçus. Un gros problème : de nombreux réseaux ne parviennent pas à séparer les différents segments, laissant l’ensemble du réseau vulnérable en cas d’attaque.
20.) Tests d’intrusion – Enfin, un bon plan de sécurité des TI exige des tests d’intrusion réguliers pour découvrir les vulnérabilités qui peuvent être laissées ouvertes malgré les autres contrôles de sécurité.
Pour de plus amples renseignements sur la façon de mettre en œuvre chacun de ces contrôles dans votre plan de sécurité des TI, téléchargez le rapport de l’ACC sur les 20 contrôles de sécurité critiques.