Réexaminons les « 5 lois de la cybersécurité »

Il y a environ un an, le journaliste Martin Banks a codifié les « cinq lois de la cybersécurité« . La cybersécurité est un domaine complexe, et toute approche qui réduit ses nombreux aspects à des aphorismes courts et faciles à retenir est toujours la bienvenue.

Cinq lois sont un bon début pour élaborer un plan de sécurité solide. La loi est :

1. Traitez tout comme vulnérable.
2. Supposons que les gens ne respectent pas les règles.
3. Si vous n’avez pas besoin de quelque chose, débarrassez vous en.
4. Documentez tout et auditez-les régulièrement.
5. Prévoyez que le plan va échouer.

Bien sûr, suivre les règles n’équivaut pas nécessairement à être en sécurité, mais ces « lois » générales sur la cybersécurité sont des références utiles. Cependant, comme pour les réglementations, une certaine profondeur et un certain contexte peuvent ajouter une valeur significative. Dans certains cas, les origines de ces lois non officielles peuvent susciter un débat houleux, même parmi les praticiens de la cybersécurité les plus fervents.

Tout traiter comme vulnérable

La première règle de la cybersécurité est de tout traiter comme vulnérable car, bien sûr, tout est vulnérable. Chaque cours de gestion des risques, chaque examen de certification de sécurité et chaque état d’esprit d’audit soulignent systématiquement qu’aucun système n’est sécurisé à 100 %. On peut dire que tout le domaine de la cybersécurité repose sur ce principe.

De nombreuses organisations ne se conformant pas entièrement à cette norme, la montée en puissance de Zero Trust Security est devenue la nouvelle référence pour les pratiques de cybersécurité matures. De par sa conception, Zero Trust refuse l’accès à quoi que ce soit sans vérifier ses autorisations. Ceci est similaire à ce que vous pourriez voir dans un film d’espionnage, où une autorisation est requise pour accéder à toutes les pièces. Zero Trust va encore plus loin et revalide cette autorisation à différentes étapes de la session. Des étapes telles que la gestion de l’accès à l’identité (IAM) pour les utilisateurs et les appareils et la vérification des mises à jour constituent la base d’un environnement Zero Trust. Aucun appareil, programme ou utilisateur ne peut accéder à un contenu sans vérification et re vérification.

Supposer que les gens ne suivront pas les règles

Je préfère redéfinir cette règle comme « les gens peuvent changer les règles » car sa formulation d’origine était trop accusatrice. Cet état d’esprit qui enfreint les règles en matière d’ordinateurs remonte aux premiers cercles de « hackers » qui ont commencé il y a longtemps au MIT Model Railroad Club. Étant donné que le respect de certains protocoles de sécurité est souvent gênant, les employés peuvent trouver des moyens de contourner ces protections, ce qui entraîne des vulnérabilités.

Les statistiques le confirment, 94 % des organisations américaines et britanniques ayant subi une violation de données interne en 2020. De même, 84 % des responsables informatiques classent l’erreur humaine comme la cause la plus fréquente d’incidents graves. Cette règle devient de plus en plus importante à mesure que les attaques d’ingénierie sociale deviennent plus courantes. Les mesures anti hameçonnage, les exigences de mot de passe et les règles similaires ne fonctionnent que si les gens les suivent.

Les entreprises doivent aller au-delà de la mise en œuvre de politiques de cybersécurité plus strictes. Cela signifie appliquer ces règles, tout en les rendant plus faciles à suivre avec des outils tels que les gestionnaires de mots de passe. Cependant, comme indiqué dans cette loi particulière, les professionnels de la sécurité doivent comprendre que des contrôles techniques sont également nécessaires pour améliorer la sécurité. Des restrictions d’accès et des protections similaires sont nécessaires pour atténuer les violations internes.

Si vous n’en avez pas besoin, débarrassez-vous-en

La troisième loi de la cybersécurité, connue à l’origine comme l’une des 3 règles de sécurité en ligne de Brian Krebs, est conçue pour minimiser la surface d’attaque et maximiser la visibilité. Alors que Krebs ne mentionnait que les logiciels installés, l’idéologie soutenant cette règle s’est développée. Par exemple, de nombreuses entreprises conservent des données, des systèmes et des équipements qui ne sont plus utilisés ou nécessaires, en particulier au fur et à mesure de leur expansion, de leur mise à niveau ou de leur croissance. Comme ces vieilles chaussures de course usées et bien-aimées dans le placard. De tels excès peuvent introduire des vulnérabilités inutiles, telles que les exploits vieux de plusieurs décennies trouvés dans certains logiciels open source.

La plupart des entreprises n’ont qu’environ 75 % de visibilité sur leurs opérations OT. Garder des actifs redondants ou non pertinents empêche une visibilité à 100 %. S’ils abandonnent les systèmes et les données hérités, ils peuvent mieux comprendre leurs opérations, ce qui peut accélérer la détection des vulnérabilités et des défaillances.

Documentez tout et auditez-les régulièrement

Cette règle est en fait deux règles en une. Des audits internes réguliers et cohérents contribuent à maximiser la visibilité et à découvrir les vulnérabilités. L’audit est un processus fastidieux et douloureux pour la plupart des professionnels de la sécurité. Malheureusement, trop d’entreprises échouent encore, ce qui fait de l’audit un élément nécessaire de la cybersécurité. Par exemple, en raison de processus de journalisation insuffisants, certains attaquants surveillent les machines des victimes pendant des mois ou des années avant que quiconque ne s’en aperçoive. Le processus d’examen doit inclure non seulement des examens de configuration, mais également des tests proactifs pour vérifier les vulnérabilités non atténuées ou nouvelles.

La documentation est souvent considérée comme l’une des tâches les plus difficiles en matière de cybersécurité et est essentielle à la fois pour les employés existants et pour la planification de la relève. Les ingénieurs sont souvent obligés de mettre en place des systèmes et de les faire fonctionner avec de la documentation comme un événement « après coup ». Malheureusement, cet événement ne s’est jamais produit parce que la routine quotidienne dépassait le temps nécessaire pour documenter avec précision chaque composant du système complexe. La gestion du changement relève également de cet élément. Plus il y aura d’entreprises enregistrées, plus il sera facile de suivre et de corriger les activités suspectes et de mettre en place de nouveaux systèmes.

Prévoir le « au cas où » !

Les dernières lois sur la cybersécurité imposent aux entreprises de se préparer au pire. Compte tenu de la vitesse à laquelle la cybercriminalité évolue, cela est peut-être plus vrai que jamais. Le risque d’exploits zero-day est trop élevé pour que les entreprises supposent qu’elles ne seront jamais compromises. Heureusement, la mentalité apocalyptique qui était auparavant présentée comme « deux types d’organisations »… « La métaphore est remplacée par un état d’esprit de résilience.

Tout cela souligne la nécessité pour les organisations de prendre des mesures préventives fortes, ainsi que des plans de rétablissement détaillés. Le coût moyen d’une attaque par rançongiciel est sept fois supérieur au paiement de la rançon elle-même. Il vaut donc mieux prévenir que guérir. Les entreprises doivent équilibrer les deux pour s’assurer qu’elles sont aussi sûres que possible.

Les plans de sauvegarde et d’intervention d’urgence doivent faire partie intégrante des pratiques de sécurité de chaque entreprise. Cependant, il est important de s’assurer qu’il s’agit de plans de secours et que les entreprises ne lésinent pas sur leurs défenses périmétriques.