Notre entreprise est-elle en sécurité ? C’est la question fondamentale à laquelle doit répondre, dans chaque organisation, le responsable de la sécurité de l’information (RSI), plus connu sous l’acronyme anglais CISO pour Chief Information Security Officer.
Chip Crane connaît bien la mentalité des RSI. Haut gestionnaire chez IBM Security, basé en Caroline du Sud, il en rencontre fréquemment dans toute l’Amérique du Nord. Venu à Montréal pour la conférence Cybersécurité 20/20 de NOVIPRO, il a partagé son expérience en dévoilant ce qui préoccupe les RSI.
Un chef de la sécurité informatique vit constamment comme s’il était assiégé. Voici comment deux RSI ont décrit leur perspective à Chip Crane :
« Nous sommes une organisation structurée et mon équipe de sécurité est solide : elle est capable de remporter des victoires. Mon problème est que, après une victoire, je ne sais pas si on s’est battus sur le bon champ de bataille ! Je ne suis jamais certain qu’on va dans la bonne direction. »
« Être responsable de la sécurité informatique, c’est comme se tenir debout au milieu d’un terrain de football devant des estrades remplies d’ennemis, sans savoir s’ils travaillent ensemble, ni quand ils vont attaquer, ni de quelle façon ils vont attaquer ! On ne sait pas quand la partie commence ni quand elle finit... »
Le rôle d’un RSI n’est pas tactique, mais stratégique. « Lorsqu’on devient un gestionnaire décisionnel (C-level executive), on devient responsable d’identifier judicieusement les objectifs de l’organisation, explique Chip Crane. Un RSI se demande d’abord ce que l’entreprise doit faire pour bien protéger ses actifs. »
Selon lui, la perspective des RSI prend en compte cinq dimensions : les données, les applications, l’infrastructure, les appareils connectés et les gens.
1- Des données : faire appliquer des politiques d’accès
Les données sont le trésor qu’il faut protéger. Le chiffrement des données est une technique utile, mais insuffisante et souvent difficile à appliquer. Selon Chip Crane, mieux vaut mettre en place des politiques strictes d’accès aux données.
« Imaginons qu’un employé du service de recherche et développement accède en moyenne à 20 dossiers par semaine, expose Chip Crane. Si, une semaine, il ouvre 25 dossiers, j’aimerais recevoir une alerte pour me permettre d’en aviser mon supérieur. Et si l’employé ouvre 30 dossiers, je voudrais que la politique me permette de suspendre immédiatement son accès, d’alerter le service de sécurité en plus de son supérieur, et de prendre contact avec un gestionnaire pour décider s’il faut rétablir l’accès. »
2- L’infrastructure : surveiller le réseau en continu
Des politiques d’utilisation du réseau devraient renforcer sa sécurité. Chip Crane donne un exemple précis : « L’accès au réseau devait être protégé par mot de passe. Un mot de passe devrait comprendre au moins tel nombre de caractères, inclure telles catégories de caractères, et ne pas être similaire au mot de passe qu’un usager utilise pour ses comptes de médias sociaux ou de courriel en ligne. »
Le service de sécurité informatique devrait aussi pouvoir écouter et surveiller en permanence tout ce qui se passe sur le réseau. Il pourrait alors identifier toute signature ou vecteur de menace connu.
3- Les applications : déceler et corriger toute vulnérabilité
Toutes les données utiles sont traitées par des applications. Une application qui présente une faille est comme un robinet ouvert pour les pirates. Comment sécuriser une application ? « En suivant un protocole strict pour son développement, répond Chip Crane. En prenant le temps de la tester, en surveillant son bon fonctionnement, et en y apportant des correctifs d’une façon rapide et ordonnée si c’est nécessaire. » Une composante de la suite d’outils QRadar d’IBM est en mesure de déceler les vulnérabilités dans les applications de l’entreprise et de suggérer des correctifs.
Si le développement de l’application a été sous-traité, l’entreprise doit en avoir le code source pour pouvoir valider son caractère sécuritaire.
4 - Les terminaux et appareils connectés : adapter les permissions au contexte d’utilisation
Avec le télétravail et la mobilité, le nombre d’appareils qui se connectent au réseau des entreprises a explosé. À défaut de pouvoir les contrôler entièrement, des politiques peuvent qualifier leur accès en fonction du degré de confidentialité des données.
« Prenons l’exemple d’un employé du service des ressources humaines qui veut travailler hors des bureaux de l’entreprise, dit-il. On pourrait décider de lui laisser accéder, de n’importe où, à partir de son téléphone mobile ou de sa tablette, aux données non nominatives de son service. S’il veut utiliser des données nominatives, on pourrait restreindre son accès à deux lieux seulement : les bureaux de l’entreprise ou son bureau à domicile. Mais s’il veut accéder aux données nominatives des cadres et dirigeants de l’entreprise, dans ce cas, son accès pourrait être limité à son ordinateur de bureau dans les locaux de l’entreprise, et seulement entre 7 h et 19 h, du lundi au vendredi. Plus une donnée est critique, plus ses conditions d’accès sont sévères et réservées à certains appareils. »
5 - Les gens : mettre à jour leurs accès selon leur parcours dans l’entreprise
Quels que soient les outils technologiques qu’une entreprise utilise pour assurer sa cybersécurité, le facteur humain demeure sa principale cause de vulnérabilité. Chip Crane suggère à l’entreprise d’ajuster, presque en temps réel, le niveau d’accès de chaque employé en fonction de ses responsabilités.
« Cinq minutes avant qu’un nouvel employé commence son premier jour de travail — pas une minute plus tôt —, je voudrais qu’on provisionne son ordinateur avec des mots de passe temporaires. Au moment où il entre au travail, un gardien de sécurité lui remet son badge et lui demande de commencer par changer ses mots de passe. »
« Lorsque l’employé est promu, pas question d’empiler de nouveaux accès sur les anciens : il faut supprimer les anciens et en créer de nouveaux, reliés aux nouvelles responsabilités de l’employé. Si l’employé quitte l’entreprise par la suite, tous ses accès doivent être supprimés dès qu’il cesse d’être employé. »
Le même principe de suivi dans le temps s’applique aux fournisseurs et aux consultants. « Si leur contrat était d’une durée de 60 jours, on vérifie 5 jours avant l’échéance si leur contrat sera prolongé. S’il ne l’est pas, tous les accès sont fermés dès la date de fin du contrat. »
Un système unifié pour gérer la cybersécurité
Pour bien protéger son entreprise, le RSI devrait donc diriger une équipe qui surveille simultanément les données, l’infrastructure, les applications, les terminaux et appareils connectés, et les gens qui les utilisent. C’est un défi. Heureusement, des solutions existent pour faciliter ce travail.
Par exemple, le système de gestion de l’information et des événements liés la sécurité (security information and event management) IBM QRadar SIEM consolide, en un seul système, les données enregistrées dans les fichiers journaux et les données d’accès aux composantes du réseau. Il permet d’identifier les menaces en produisant des alertes, de prioriser ces menaces, et d’aider l’équipe de sécurité à y faire face en suggérant des moyens de remédiation. Ce produit est offert en environnement local et en version infonuagique.
Pour être proactif et déceler les menaces externes avant qu’elles se manifestent, QRadar Advisor with Watson utilise la puissance d’analyse de l’intelligence artificielle pour faire une veille des menaces à l’extérieur de l’entreprise, en analysant les articles publiés sur des attaques qui ont visé d’autres organisations.
Ce ne sont que quelques-uns des produits d’analytique de sécurité et des produits d’infrastructure réseau de la gamme QRadar d’IBM, qui comprennent aussi QRadar Data Store, QRadar on Cloud, QRadar User Behavior Analytics, QRadar Vulnerability Manager, QRadar Log Manager, QRadar Incident Forensics et QRadar Network Insights.
Contactez un conseiller de NOVIPRO pour savoir comment rehausser la sécurité du réseau et des TI de votre entreprise.
