Article rédigé par Joseph Carson, responsable scientifique de la sécurité chez Thycotic.
Les responsables de la sécurité de l'information (CISO) portent sur leurs épaules l'un des poids les plus lourds de toutes les organisations. À eux seuls, en fonction de leurs politiques de sécurité et de leur mise en œuvre, ils peuvent être responsables du succès ou de la chute d'une entreprise entière.
Il s'agit littéralement d'un poste ingrat, car personne ne dit mot jusqu'à ce que quelque chose tourne mal. Les RSSI doivent trouver un équilibre entre la capacité à maintenir leur équipe interne et la protection des données et de l'infrastructure de l'organisation. En une seule violation, qu'elle soit due à un accident ou à un manque de surveillance, une organisation entière peut être mise à genoux sans aucune chance de rétablissement. Nous pensons qu'il est crucial pour les RSSI à tous les niveaux de s'assurer que 5 politiques de sécurité essentielles sont mises en œuvre et strictement appliquées.
Cette liste n'est pas exhaustive, mais elle constitue un bon point de départ - nous constatons constamment que les dirigeants s'efforcent de mettre en œuvre ces actions dans tous les domaines.
Avant de commencer, il est important de noter que pour que vos politiques soient efficaces, elles doivent être adoptées, reconnues et appréciées par chaque membre de l'équipe de direction. La politique de l'entreprise doit stipuler que le non-respect par les employés des politiques de sécurité émanant du bureau de la sécurité de l'information peut entraîner le licenciement. Elle doit être prise au sérieux, car chaque membre de l'organisation est responsable de la sécurité de l'ensemble de l'entreprise.
Commençons par les 5 principales politiques de sécurité que tout RSSI doit mettre en œuvre.
Le moindre privilège
C'est la première chose à faire. Si vous n'utilisez pas le moindre privilège, vous risquez de compromettre tous les autres systèmes, politiques et procédures de sécurité en place. Vous pouvez avoir tous les meilleurs systèmes de sécurité, mais si un compte administratif ou privilégié est compromis, tous vos systèmes le sont aussi. La meilleure façon de s'assurer que cela ne se produise pas est d'appliquer un processus appelé "moindre privilège". Cette procédure consiste essentiellement à s'assurer que chaque personne au sein de votre organisation ou associée à celle-ci dispose du plus petit nombre de privilèges possible pour effectuer son travail quotidien.
Par exemple, les employés de votre service marketing n'ont pas besoin d'avoir des droits d'administration locaux sur leurs postes de travail. Ils peuvent en avoir envie, pour de nombreuses raisons, mais ils n'en ont pas réellement besoin pour accomplir leurs tâches quotidiennes.
Voici deux aspects des privilèges à explorer (disclaimer : ce sont deux aspects pour lesquels Thycotic peut vous aider). Séparer tous les utilisateurs de leur accès administratif permanent, ou privilégié (oui, cela inclut même vos administrateurs informatiques et de sécurité) ; et supprimer tous les accès privilégiés sur les terminaux et les applications.
La première nécessitera une solution de gestion des comptes privilégiés (PAM), comme notre serveur secret, visant à découvrir, stocker, gérer et protéger les comptes privilégiés dans l'ensemble de votre organisation. Vos administrateurs peuvent se connecter au système et consulter les comptes privilégiés uniquement lorsqu'ils en ont absolument besoin. Tous ces accès sont entièrement contrôlables.
La seconde, qui consiste à supprimer les droits d'administration des terminaux et des applications, est plus difficile à mettre en œuvre pour les organisations. Nous entendons souvent dire que les cadres supérieurs sont prêts à accepter un risque de cybersécurité bien plus important pour leur organisation que d'imposer aux employés ordinaires de n'avoir que des comptes standard.
La raison en est souvent le nombre élevé de tickets d'assistance requis lorsqu'un utilisateur régulier doit installer ou mettre à jour des applications. Là encore, Thycotic peut vous aider grâce à sa solution Privilege Manager pour Windows et Mac. Privilege Manager vous permet de mettre rapidement en place des politiques basées sur les applications pour permettre aux logiciels approuvés de fonctionner (liste blanche d'applications) tout en refusant et en bloquant toutes les applications inconnues. Et pour les applications qui ne font pas l'objet d'une politique, vous pouvez les mettre sur liste grise et permettre aux utilisateurs de soumettre une demande d'accès. Les utilisateurs peuvent désormais installer des logiciels approuvés et contourner l'UAC en élevant l'application avec des privilèges basés sur les politiques que vous avez définies pour eux.
Systèmes de patchs
Il s'agit de l'une des politiques les plus simples et, curieusement, les plus oubliées au sein d'une organisation. Si vous opérez selon le principe du moindre privilège et que vous maintenez vos systèmes à jour avec les derniers correctifs de sécurité et de bogues, vous atténuez 99 % de toutes les menaces potentielles au sein de votre organisation. Je ne devrais peut-être pas parler de "politiques oubliées", car nous entendons souvent parler d'entreprises qui choisissent de ne pas mettre à jour ou de ne pas appliquer de correctifs à leurs systèmes pour diverses raisons. La première raison est que les applications existantes créées en interne risquent d'être endommagées. Nous avons tous déjà entendu parler d'organisations qui utilisent encore des versions non prises en charge de Windows.
Une fois de plus, les dirigeants sont confrontés au dilemme "risque contre récompense". S'ils patchent leurs systèmes, cela pourrait leur coûter des heures d'indisponibilité, des ressources, des heures et de l'argent. Mais s'ils ne le font pas, tout continue normalement et ils espèrent simplement ne pas être la prochaine cible d'une cyberattaque.
En ce qui concerne les cyberattaques, le ransomware WannaCry est un excellent exemple de la raison pour laquelle il est essentiel de maintenir les systèmes corrigés et à jour. Lorsque des vulnérabilités sont découvertes, les pirates tentent rapidement de créer des outils qui tirent parti de ces vulnérabilités et tentent d'exploiter les organisations qui n'ont pas corrigé leurs systèmes de cette vulnérabilité. Microsoft a patché ses systèmes des mois avant la publication du ransomware WannaCry. Les attaquants ont créé WannaCry dans le but d'exploiter les organisations qui n'avaient pas mis leurs systèmes à jour - et il y en a eu des milliers.
Formation à la sécurité
Le maillon faible de tout dispositif de sécurité sera toujours l'être humain, et c'est pourquoi je recommande d'exclure l'être humain de l'équation dans la mesure du possible (en utilisant par exemple un gestionnaire de mots de passe centralisé, tel que Secret Server, plutôt que de demander aux employés de se souvenir de leurs mots de passe). Malgré cela, il est important de veiller à ce que chaque employé suive une formation trimestrielle sur la sécurité. Une formation interactive est également utile, par exemple en soumettant les employés à une simulation d'attaque par hameçonnage pour voir comment ils réagissent et être en mesure de remédier à la situation de ceux qui échouent au test.
Les employés qui continuent d'échouer aux tests de formation à la sécurité risquent d'être licenciés. Les attaquants essaient toujours de trouver les points faibles d'un réseau, et il n'y a rien de mieux qu'un employé régulier qui sera victime d'une attaque de phishing ou d'ingénierie sociale afin d'accéder à votre réseau.
Exercices d'urgence en matière de sécurité
Ce point est souvent négligé dans de nombreuses organisations. De nombreuses équipes informatiques et de sécurité disposent de systèmes de sauvegarde, de procédures de reprise après sinistre, de politiques d'urgence, etc., mais ne parviennent pas à tester ces systèmes dans le cadre d'un véritable exercice.
Au moins une fois par trimestre, votre équipe devrait effectuer des exercices simulant une attaque ou un événement catastrophique pour votre organisation. Demandez-leur de restaurer les sauvegardes et de s'assurer qu'elles fonctionnent, ou de tout basculer sur les systèmes de secours dans le cadre d'un scénario de reprise après sinistre. Toute la préparation et la planification des événements sont inutiles s'ils ne fonctionnent pas réellement et si l'équipe n'est pas suffisamment préparée et expérimentée pour remettre tout en marche immédiatement.
Combien de temps faudrait-il à votre organisation pour faire face à un acte naturel ou à une cyberattaque ? Si vous ne connaissez pas la réponse à cette question, il est peut-être temps de procéder à des exercices d'urgence en matière de sécurité.
Documenter, rendre compte et auditer
Documentez tout ce que vous faites, rendez compte de la réussite de vos politiques et réalisez des audits internes de tous vos systèmes. Même si vous n'êtes pas une organisation soumise à des considérations réglementaires telles que PCI ou HIPAA, il est extrêmement positif que vous fassiez l'objet d'audits internes tous les trimestres. Enfin, ne planifiez pas non plus ces audits, mais réalisez-les à l'improviste. Les audits surprises de vos systèmes garantissent que vos équipes informatiques et de sécurité font toujours de leur mieux pour s'assurer qu'elles respectent les politiques que vous avez définies.
Nous espérons que ces informations vous ont été utiles, non seulement si vous êtes RSSI, mais aussi pour toute personne chargée de diriger les programmes de sécurité et de protection de l'ensemble de l'organisation.