À quoi ressemble une bonne cyber-résilience en 2019?

À quoi ressemble une bonne cyber-résilience en 2019?

Le philosophe grec Héraclite d’Éphèse a dit un jour:

Si vous avez l’impression d’un écran bleu, c’est probablement parce que c’est du grec pour vous.

Voici la traduction: Tout change et rien ne reste immobile.

Bien que cette citation ait été dite il y a 2 500 ans, vous n’auriez pas tort de penser qu’elle décrit l’état actuel de la cybersécurité. La plupart des professionnels de la sécurité savent qu’ils vivent dans un état de flux constant. Une nouvelle tactique ou une nouvelle information sur la menace peut changer toute une stratégie de protection, ce qui signifie que si votre planification de la cyber-résilience ne suit pas les dernières tendances, vous risquez de vous retrouver, après un incident, à regarder un certain Platon, qui a déclaré:

 Les bonnes personnes n’ont pas besoin de lois pour leur dire d’agir de manière responsable, alors que les mauvaises personnes trouveront un moyen de contourner les lois. 

Les plans sont utiles, mais la planification est indispensable

Si cet article commence à vous sembler une source de sagesse, recherchez la tendance commune: après réflexion, les leçons de ces citations sont évidentes. Croyez-le ou non, aussi difficile que soit la cybersécurité, la gestion du cyber-risque, après réflexion, est également une évidence:

  • Définir les risques qui vous concernent
  • Déterminer le niveau de risque que vous êtes prêt à accepter. et
  • Développer un plan pour atténuer le risque que vous avez accepté.

Voilà les trois D de la gestion des risques informatiques. La meilleure planification en matière de cyber-résilience en 2019 provient de la simplicité, à commencer par le cadre de cybersécurité (CSF) de l’Institut national des normes et de la technologie (NIST). Les fonctions clairement définies – Identifier, Protéger, Détecter, Répondre et Récupérer – vous aident à comprendre ce que vous avez à faire. Que vous soyez une petite ou une grande organisation, le CSF NIST doit vraiment être votre fondation, car au pire, il vous donnera un point de départ pour évaluer votre posture de sécurité.

La bonne nouvelle est que, lentement et sûrement, le CSF du NIST commence à prendre forme. En 2015, les études Gartner ont estimé que 30% des organisations américaines utilisaient ce cadre, anticipant un taux d’adoption de 50% d’ici 2020. Si le NIST CSF ne fait pas partie de votre planification en matière de cyber-résilience, vous avez du travail à faire.

Vous n’avez pas de plan à moins de tester votre plan

Les documents et les rapports de conformité peuvent sembler beaux au moment de l’audit, mais une pile de documents ne fera guère pour arrêter cette menace persistante avancée (APT). Tester vos plans et vos réseaux a généralement été une tâche laborieuse, coûteuse et longue. Mais avec l’augmentation du nombre de participants dans l’espace de cybersécurité alimentant la concurrence, et davantage d’innovations et d’économies d’échelle dans les développements technologiques, les évaluations de la vulnérabilité et les tests de pénétration ne sont plus réservés à la grande entreprise.

En fait, il y a une certaine banalisation dans ces régions, les fournisseurs de services offrant ces services moyennant des frais fixes. Pour les organisations qui hésitent à mener ces évaluations et ces tests, la banalisation devrait être une bonne nouvelle.

La difficulté réside peut-être dans le choix de la fréquence de ces services. Votre décision sera presque certainement basée sur votre tolérance au risque, mais il n’est pas déraisonnable de supposer que les évaluations et les tests annuels deviendront un type de «cyber-bilan» récurrent, semblable à une visite chez le médecin. La version courte est la suivante: si vous n’effectuez aucune évaluation de vos systèmes, au moins une fois par an, vous réduisez rapidement votre cyber-résilience.

Rappelez-vous ce qu’Héraclite a dit à propos de tout changement. Ce que vous pensiez être «bon» en 2018 peut être très éloigné de ce qu’il est «bon» en 2019. Si votre gestion des cyber-risques n’est pas dynamique – et que le seul moyen d’être dynamique est de savoir quel est votre état actuel pour pouvoir vous ajuster en conséquence – vous pouvez vous exposer à un coup de poing numérique qui vous laissera envoyer des courriers électroniques de la même manière que les Grecs anciens.

Donner un phish à une personne…

Que vous ayez la perspicacité de repérer un courrier électronique de phish-y ou que vous restiez au top de la configuration du système, si votre personnel ne reçoit pas une formation ou une mise à jour régulière de ses compétences, sonnez l’alarme. Les technologies de sécurité, telles que les solutions de protection des terminaux ou les outils de gestion d’informations et d’événements de sécurité (SIEM), sont formidables – et nécessaires – mais elles constitueront toujours une pièce du puzzle.

L’autre pièce du puzzle sera toujours l’être humain, qu’il s’agisse d’un utilisateur final illettré sur le plan technologique ou d’un administrateur informatique expérimenté. Même si nous entendons constamment parler du lien malveillant qui déclenche un ransomware ou du succès du compromis de messagerie électronique d’entreprise, rappelez-vous que même les employés les plus qualifiés nécessitent une formation continue.

Par conséquent, si votre personnel ne reçoit pas de formation régulière et ne fait pas l’objet de tests réguliers, votre stratégie de cyber-résilience présente un trou béant. Vous prenez simplement des risques que vous ne pouvez pas vous permettre, mais vous pouvez aussi facilement effacer votre registre avec de la graisse pour coude.

Travailler plus intelligemment

Tandis que mettre en œuvre une sorte d’intelligence artificielle (IA) pour vous aider avec l’épuisement de votre personnel peut être une raison pour adopter la technologie, une autre raison est que les acteurs de la menace ont armé l’IA pour déclencher une nouvelle génération de cyberattaques. Naturellement, l’utilisation de l’IA ou de l’apprentissage automatique (ML) peut être d’un coût prohibitif – contrairement aux évaluations de vulnérabilité et aux tests de pénétration, AI et ML n’ont pas encore atteint le stade de la standardisation – et certains ont encore des inquiétudes quant à ce que AI et ML vont réellement faire. réseau.

Ce sont des préoccupations légitimes, mais l’implémentation généralisée de l’IA et du ML est sur le point d’arriver. Votre planification de la cyber-résilience devrait donc leur trouver une place, si ce n’est aujourd’hui, dans un avenir très proche.

Si vous ne pouvez pas le mesurer, vous ne pouvez pas le gérer

Ou est-ce que les choses importantes ne peuvent pas être mesurées? C’est parfois difficile à dire, mais avant de décider lequel, récapitulons ce que nous avons déjà évoqué:

  • Gestion des risques
  • Cadres de l’industrie
  • Planification et test de plan
  • Évaluations de la vulnérabilité
  • Tests de pénétration
  • Formation de sensibilisation à la sécurité
  • intelligence artificielle et apprentissage automatique

Tout cela semble si simple, n’est-ce pas? Eh bien, si tout est simple et pas particulièrement novateur, pourquoi y a-t-il encore des violations? C’est probablement parce que nous n’avons pas encore implémenté toutes ces bases et que cela devrait être la meilleure des choses à prendre. La cyber-résilience en 2019 doit inclure toutes les choses mentionnées ci-dessus et, franchement, nous ne le sommes pas tous. Ce sont vos bases de gestion de cyber-risque, votre «must dos» de base si vous voulez vous protéger aujourd’hui.

Si vous n’avez pas commencé à mettre en place toutes les mesures mentionnées ci-dessus, vous devriez le faire. Et assurez-vous de pouvoir mesurer votre succès en cours de route. Identifiez vos lacunes, suivez vos progrès et proposez des mesures qui peuvent améliorer votre posture de sécurité des informations. Tout cela est faisable, gérable et mesurable. Après tout, une brèche est une chose importante et son coût, parfois, ne peut être mesuré.

Comment les services financiers peuvent-ils endiguer la marée des attaques de phishing mobiles? La personnalité est-elle l'élément manquant de la formation à la sensibilisation à la sécurité?