Monitoring continu : trois approches pour garder le contrôle sur votre sécurité

Dans l’une de ses études sur la cybercriminalité, le cabinet EY révélait au début de l’année que plus de la moitié des responsables de sécurité dans les entreprises luxembourgeoises affirmaient qu’il était improbable que leur département soit capable de détecter une cyberattaque sophistiquée. Face à des menaces de plus en plus complexes, les services IT mettent aujourd’hui en place des mesures de défense en profondeur. Mais ils ne doivent pas oublier de pratiquer une surveillance étroite de cette infrastructure au cas où ces outils deviennent défaillants suite à une panne ou une attaque.

 

Image 1

 

Surveiller représente une vaste tâche dans le cadre de cette défense répartie sur plusieurs couches (périmètre, réseau, serveurs, endpoints, utilisateurs, data). Car les informations reçues de l’infrastructure sont extrêmement nombreuses. Et il serait fortuit de les traiter toutes avec le même degré d’importance ou de priorité. Mais sur quoi devrait se concentrer le monitoring ? Quelles approches adopter pour garder la maîtrise de votre architecture ?

 

Première approche : identifier les données sensibles

Les données générées par l’entreprise peuvent être de trois ordres. On y retrouve les données structurées issues des applications business, les données non-structurées générées par l’humain et les données non-structurées générées par la machine. Ces dernières devraient d’ailleurs se multiplier à l’avenir avec l’avènement de l’Internet of Things.

 

Image 2

 

Pour les dirigeants d’une entreprise, la difficulté va résider dans la classification de la sensibilité des données ainsi récoltées. Elles peuvent être différentes d’une entreprise à l’autre, d’un département à l’autre, d’une personne à l’autre et même d’un moment à l’autre. Aussi bien le département IT que les dirigeants devront être capables de répondre à un certain nombre de questions :

• Qui a accès aux données ?
• Qui peut les modifier, les déplacer, les supprimer ?
• Quels fichiers contiennent des informations cruciales ?
• Où sont stockées les données sensibles ?
• Comment se déplacent-elles ?
• Par quelles applications sont-elles utilisées ?

 

Deuxième approche : identifier les systèmes sensibles

Une autre approche consiste à s’intéresser aux systèmes sensibles, c’est-à-dire au mode de stockage, au degré de sensibilité des différents serveurs et des différentes machines dans la compagnie. Une telle maîtrise de vos systèmes est primordiale. Ici encore, il s’agit de se poser les bonnes questions :

• Votre dispositif de gestion de vos actifs matériels et logiciels est-il efficace ?
• Votre diagramme réseau est-il à jour ?
• Votre gestion des configurations et des correctifs est-elle optimale ?

 

Troisième approche : identifier les personnes clés 

La troisième approche se concentre sur l’utilisateur en lui-même. Dans ce contexte, il est important de pouvoir identifier les personnes clés dans l’entreprise, celles qui sont susceptibles d’attirer les menaces, par leur statut dans l’entreprise ou par leur comportement à risque. La réflexion devra tourner autour des accès.

• Votre dispositif de Network Access Control (NAC) est-il suffisant ?
• Avez-vous mis en place un outil Manage Trust in People Granted Access pour contrer les menaces à l’interne ?
• Vos employés ont-ils reçu une formation sur la sécurité ?

Pour bénéficier d’une surveillance optimale, il faudra pouvoir combiner les différentes approches. Mais de manière réaliste, il est tout à fait possible de fonctionner étape par étape, sous peine de se noyer sous le volume d’informations. Certaines entreprises préféreront commencer par l’une des trois approches dans un scope défini et poursuivront avec une deuxième approche par la suite.

 

Ne pas oublier de se rapprocher des acteurs locaux

Cette démarche de monitoring continu est devenue une nécessité. Face à des pirates de mieux en mieux armés sur un marché noir brassant des millions, beaucoup d’entreprises peuvent se sentir fragilisées. Pour se prémunir des attaques, ces dernières ont tout intérêt à se rapprocher d’organismes étatiques comme le CIRCL, CASES…, à s’informer auprès de communautés de référence dans la gestion des risques comme le CERT.LU, ISACA… , et à faire confiance à des partenaires locaux pour les aider dans l’élaboration d’une infrastructure sécurisée. Ces partenaires et leurs experts seront d’autant plus essentiels que la quantité de données à traiter est souvent phénoménale.

 

Laisser un commentaire

Optimization WordPress Plugins & Solutions by W3 EDGE