Meilleures pratiques en matière de gestion des risques de cybersécurité

Dans l’environnement rapide dans lequel évoluent aujourd’hui les entreprises, la modernisation de l’informatique et la transformation numérique sont des impératifs stratégiques pour toute entreprise qui souhaite conserver un avantage concurrentiel. La dépendance à l’égard de processus et de technologies toujours plus numériques augmente l’exposition aux menaces de cybersécurité, ce qui souligne la nécessité d’une approche plus stratégique de la gestion des risques de cybersécurité.

Dans ce contexte, la sécurisation de votre entreprise et de vos données est d’autant plus délicate que les frontières traditionnelles du réseau tendent à disparaître. La gestion des risques de cybersécurité vous permet de comprendre vos risques cyber et de réduire leur impact potentiel.

Voici quelques bonnes pratiques à prendre en compte.

1. Adopter une approche basée sur les risques.

Comme pour tout type de risque, il est illusoire de croire que l’on peut éliminer complètement le risque cyber. Mais il est possible d’anticiper les menaces, de planifier pour s’en prémunir et de réduire les risques plus efficacement. En matière de gestion des risques de cybersécurité, une approche « basée sur les risques » constitue une bonne pratique qui permet de hiérarchiser les risques en fonction de critères tels que la probabilité, l’exposition et l’impact.

Pour le dire simplement, la gestion des risques de cybersécurité, ou l’atténuation des risques, est un processus continu visant à :

• Identifier, analyser et évaluer les risques de cybersécurité et les vulnérabilités associées
• Utiliser des outils d’évaluation pour hiérarchiser les risques identifiés
• Implémenter des stratégies d’atténuation et de réduction des risques par le biais d’une multitude de contrôles

La finalité d’un plan de gestion des risques de cybersécurité va au-delà de la protection de votre entreprise contre les cybermenaces. Un tel plan sert d’autres objectifs, tels que :

• Minimiser les perturbations et leur impact sur les opérations et les services
• Assurer la continuité des activités
• Réduire les pertes d’exploitation, l’atteinte à la réputation et d’autres effets négatifs

L’adoption d’une approche basée sur les risques est un processus itératif – voyez-la comme un outil dynamique que vous utilisez au quotidien pour prendre des décisions stratégiques.

2. Mettre au point une stratégie de gestion des risques de cybersécurité.

Une stratégie de gestion des risques de cybersécurité fournit une feuille de route dans le cadre de vos activités d’atténuation. Lors de la mise en place d’une stratégie de lutte contre les risques cyber, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA, le pendant de l’ANSSI en France), recommande aux entreprises de se poser les questions ci-dessous :

• Comment les cybermenaces peuvent-elles influer sur les différents secteurs de votre entreprise, des ressources humaines à la chaîne d’approvisionnement, en passant par les relations publiques et les opérations ?
• Quelles catégories de données stratégiques pourraient être perdues ou compromises ? Il peut s’agir, entre autres, de données sensibles des clients, de propriété intellectuelle et d’informations d’identification personnelle (PII).
• Comment minimiser les risques cyber afin de favoriser une résilience à long terme ?
• Quel est actuellement le niveau de risque cyber de votre entreprise ?
• Comment votre plan de gestion des risques de cybersécurité met-il en application les normes et les meilleures pratiques ?

Voici quelques-unes des étapes permettant de mettre en place un plan de gestion des risques :

• Comprenez quelles sont vos ressources précieuses et stratégiques – y compris les données, les réseaux et les systèmes informatiques – que les cybercriminels sont susceptibles de cibler. Ce sont ces ressources qu’il vous faut protéger.
• Identifiez les risques – passés et actuels, mais aussi futurs – qui affectent ces ressources dans votre entreprise. Il peut s’agir de menaces d’initiés, d’attaques par rançongiciel, etc.
• Hiérarchisez les mesures d’atténuation en fonction des évaluations de risques. Cela permet d’allouer les ressources aux zones qui offrent la meilleure protection.
• Évaluez vos contrôles actuels, puis identifiez les lacunes à combler. Effectuez une surveillance continue, car vos risques, tout comme votre environnement, sont dynamiques et en constante évolution.
• Documentez vos objectifs, politiques et processus liés à la sécurité et réexaminez-les régulièrement.

3. Adopter un cadre de gestion des risques de cybersécurité.

Un tel cadre permet de développer une approche basée sur les risques en se concentrant sur ceux qui sont les plus déterminants. Vous pouvez créer votre propre cadre, mais l’adoption de l’un des cadres communs ayant pignon sur rue reste la méthode suivie par de nombreuses entreprises, étant donné qu’ils s’appuient sur les meilleures pratiques reconnues du secteur.

Ces cadres normalisés fournissent un ensemble de processus que vous pouvez suivre pour évaluer les risques qui pèsent sur votre entreprise et développer des stratégies de riposte. Les trois cadres les plus courants sont les suivants :

Cadre de gestion des risques (RFM) du National Institute of Standards and Technology (NIST) : comme le décrit le NIST, le cadre de gestion des risques (RFM) « fournit un processus flexible, global et reproductible, en sept étapes, permettant de gérer les risques liés à la sécurité et à la confidentialité. En outre, ce cadre américain renvoie à un ensemble de normes et de lignes directrices du NIST pour soutenir l’implémentation de programmes de gestion des risques afin de répondre aux exigences de la loi fédérale sur la modernisation de la sécurité de l’information (FISMA). » Bien que la conception de ce cadre de gestion des risques (RFM) s’adresse aux organismes publics fédéraux, toute entreprise, quel que soit son secteur ou sa taille, peut utiliser cette approche dans  le cadre de la gestion des risques de cybersécurité.

Cadre de cybersécurité du NIST : Développé par le NIST en collaboration avec le secteur privé, le cadre de cybersécurité du NIST (CSF) vient compléter le cadre de gestion des risques (RFM). Cependant, bon nombre d’entreprises en font leur principal instrument de gestion des risques cyber.

Selon le NIST, le cadre de cybersécurité (CSF) est « modulable afin de fournir une implémentation souple et basée sur les risques qui peut être utilisée avec un large éventail de processus de gestion des risques de cybersécurité. »

Ce cadre se concentre sur cinq activités principales, à savoir :

• Identifier – comprendre le contexte commercial et les risques connexes afin d’établir des priorités
• Protéger – mettre en place des mesures de protection et des contrôles pour garantir le maintien des services essentiels
• Détecter – garantir l’identification des événements liés à la cybersécurité
• Réagir – mettre en œuvre les mesures pertinentes lorsqu’un événement lié à la cybersécurité est détecté
• Rétablir – garantir le rétablissement des services et des opérations et le maintien de la résilience

Certification ISO/IEC 27001 : L’Organisation internationale de normalisation (ISO), en partenariat avec la Commission électrotechnique internationale (IEC), a développé ce cadre spécifiquement pour les systèmes d’information. En plus de fournir des normes internationales et des meilleures pratiques permettant l’implémentation d’un système de gestion de la sécurité de l’information, l’ISO propose un programme de certification ISO/IEC 27001 mis en œuvre par des organismes tiers accrédités.

4. Ne pas se limiter à la conformité.

Compte tenu de la pléthore de réglementations, le respect de la conformité réglementaire est aujourd’hui une priorité pour les entreprises de tous les secteurs et à plus forte raison en ce qui concerne les secteurs hautement réglementés tels que les services financiers et les soins de santé. Une erreur fréquente consiste toutefois à considérer que conformité et gestion des risques sont une seule et même chose.

Les normes de conformité constituent souvent les critères de référence les plus faibles en matière de sécurité. Elles constituent également une base de référence satisfaisante quant aux exigences minimales. Lorsque vous utilisez ces normes comme point de départ, vous devez tenir compte des meilleures pratiques – telles que celles établies par le NIST, le Center for Internet Security (CIS) et d’autres leaders du secteur – qui vous permettent de défendre vos ressources de manière dynamique plutôt que de passer votre temps à éteindre des incendies.

5. Mettre en œuvre une défense en profondeur.

Les acteurs de la cybersécurité ont adapté le concept de défense en profondeur en s’inspirant des tactiques militaires. L’idée est de créer des obstacles qui entravent la progression de l’adversaire et l’empêchent d’atteindre son objectif final. Dans le domaine de la cybersécurité, cela passe par la mise en œuvre de mesures de détection et de réaction aux intrusions, en particulier pour les menaces avancées et persistantes.

Voici quelques-unes des mesures d’atténuation recommandées par la National Security Agency (NSA)  aux États-Unis dans le cadre d’une défense en profondeur :

• Automatiser les mises à jour et les mises à niveau des logiciels dans la mesure du possible, afin de minimiser les possibilités d’exploit offertes aux acteurs hostiles
• Défendre les privilèges et les comptes en faisant appel à des outils tels que la gestion des accès privilégiés (PAM), la gestion automatisée des identifiants et les contrôles d’accès
• Implémenter l’authentification multifactorielle (MFA), en donnant la priorité aux comptes qui disposent d’un accès à distance, de privilèges supérieurs et d’un accès à des ressources précieuses
• Créer, examiner et mettre en œuvre un plan de reprise des systèmes afin de garantir une restauration efficace des données
• Traquer en permanence les intrusions dans le réseau afin de détecter, de contenir et d’éradiquer les menaces présentes dans le réseau

6. Appliquer des indicateurs pour mesurer l’efficacité.

Des indicateurs utiles et mesurables permettent d’évaluer l’efficacité des initiatives de gestion des risques de cybersécurité. Les entreprises peuvent s’inspirer d’une variété d’indicateurs clés de performance sur lesquels le secteur s’appuie, tels que :

• Délai de correction : nombre de jours nécessaires pour corriger des vulnérabilités critiques
• Alertes SOC : nombre d’alertes de sécurité reçues et résolues par le centre des opérations de sécurité (SOC) chaque semaine ou chaque mois
• Délai moyen de détection (MTTD) : temps moyen nécessaire à l’équipe de sécurité pour détecter une menace
• Délai moyen de rétablissement (MTTR) : temps moyen nécessaire pour se remettre d’un incident une fois qu’il a été détecté
• Cotes de sécurité : scores fournis par des plates-formes tierces de notation de la cybersécurité

7. Tester le plan d’intervention en cas d’incident et de reprise après sinistre.

Les plans de réaction aux incidents, de reprise après sinistre et de continuité des activités font partie intégrante de la gestion des risques de cybersécurité. Souvent, les entreprises négligent la phase de mise en pratique de ces plans. Dans le feu de l’action, la crise exige toute l’attention de votre équipe d’intervention – et si elle ne s’est pas entraînée à mettre les mesures en œuvre, elle risque fort d’être débordée.

Les exercices pratiques, les exercices sur table, les tests de simulation et les autres activités pratiques permettent à votre équipe de gestion des risques de comprendre les procédures, ce qui accélère l’intervention en cas d’incidents réels et réduit le nombre de demandes qui remontent à l’équipe de gestion. Mettez en œuvre ces exercices pratiques dans l’ensemble de l’entreprise, et pas seulement au sein de l’équipe informatique.

Gestion dynamique de vos risques.

Dans un environnement numérique et dynamique, transformer votre sécurité en passant d’une approche centrée sur la technologie à une approche centrée sur les personnes peut vous aider à gérer les risques de manière dynamique plutôt que de réagir constamment aux nouvelles menaces. SailPoint protège votre entreprise et vous aide à gérer les risques en permettant un accès sécurisé à vos précieuses ressources depuis n’importe où. En savoir plus sur l’approche de SailPoint en matière de sécurité des identités.