Tout est meilleur en ce qui concerne les meilleures pratiques en matière de cybersécurité

Tout est meilleur en ce qui concerne les meilleures pratiques en matière de cybersécurité

Parce que l’innovation évolue très rapidement, suivre les meilleures pratiques de l’industrie peut sembler être un travail à temps plein. De plus, les attaquants font constamment évoluer leurs campagnes, exploitant souvent les vulnérabilités «zero day» avec des attaques sans signature connue, ce qui leur permet d’échapper à la détection de la plupart des outils de sécurité.

Comment les professionnels de la sécurité peuvent-ils suivre les meilleures pratiques en matière de cybersécurité sans perdre trop de temps ailleurs ?

Cela commence par comprendre et définir avec précision «le meilleur».

Que veut même dire «meilleur» ?

Dans la “Zen Flesh, Zen Bones”  de Paul Reps, il y a l’histoire d’un ancien philosophe nommé Banzan, qui se promenait dans un marché lorsqu’il a surpris la conversation entre un boucher et son client:

«Donnez-moi le meilleur morceau de viande que vous ayez», a déclaré le client.

«Tout dans ma boutique est le meilleur», a répondu le boucher. “Vous ne pouvez pas trouver ici un morceau de viande qui n’est pas le meilleur.

Depuis des siècles, l’idée que tout est meilleur a confondu les êtres humains, mais c’est une leçon qui a une grande valeur pour les praticiens de la sécurité.

Les meilleures pratiques en matière de cybersécurité sont souvent pilotées par la communauté des fournisseurs au sein de la sécurité de l’information, mais ce ne sont rien de plus qu’un ensemble de méthodologies et de processus basés sur la théorie de ce qui permettra à une entreprise de bloquer ou de contenir une violation, selon Chris Morales, responsable analyse de sécurité chez Vectra. Les processus peuvent fonctionner pour une entreprise, mais pas pour quelqu’un d’autre, et c’est là que vous pouvez commencer à voir un morceau de vérité dans l’idée que tout est meilleur.

«Il devrait toujours y avoir place pour de nouvelles idées et innovations. De nouvelles innovations apportent de nouvelles idées et de meilleures méthodes de réalisation des processus », a déclaré Morales. «Chaque expert en sécurité devrait constamment réfléchir aux moyens d’améliorer et ne pas s’appuyer uniquement sur des méthodes anciennes et sur les meilleures pratiques existantes.»

Mark Chaplin, directeur principal du Forum sur la sécurité de l’information (ISF), a convenu que le terme «meilleur» est fréquemment utilisé comme s’il s’agissait d’une formule magique pour la protection d’une organisation. Avec un paysage de menaces aussi vaste et en expansion, il n’existe aucun ensemble de formules que vous pouvez appliquer en un tournemain. En conséquence, le concept même de meilleures pratiques de sécurité peut être problématique.

«Les opérations commerciales, la maturité, l’utilisation de la technologie et du secteur industriel ne sont que quelques-uns des facteurs qui dictent ce qu’une entreprise considère comme la meilleure pratique pour sécuriser ses informations et sa technologie», a déclaré Chaplin. «Les obligations légales, réglementaires et de l’industrie ajoutent également au défi car elles doivent souvent être intégrées aux politiques, normes et procédures de sécurité de l’organisation.»

Des pratiques qui transcendent le temps et la technologie

De nombreuses organisations utilisent plus d’une norme ou d’un cadre, telles que la Norme de bonnes pratiques pour la sécurité de l’information de l’ISF, l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ISO / IEC 27002 ou l’Institut national des normes et de la technologie. Cadre de cybersécurité (NIST). Cependant, Chaplin a souligné que cette approche aboutissait généralement à un ensemble hybride de politiques, de normes et de procédures qui était réellement adapté au profil de risque de l’organisation.

Bien que le changement soit la seule constante en matière de sécurité, Chris Weber, cofondateur de Casaba Security, a déclaré: «Des pratiques de sécurité bien conçues sont souvent simples et intemporelles; ils sont suffisamment généraux pour être agnostiques vis-à-vis de la technologie et appliquer une philosophie aussi efficace il ya 25 ans qu’elle est aujourd’hui – et qui pourrait l’être dans 25 ans.

Rester concentré sur les fondamentaux semble être la meilleure pratique qui transcende le temps et la technologie. Comme il existe toujours de nouveaux outils de sécurité qui promettent de mieux protéger l’entreprise, Nathan Wenzler, directeur principal de la cybersécurité chez Moss Adams, a souligné que les correctifs, la sécurité des applications, la gestion des actifs, le renforcement des systèmes, la surveillance des événements et toutes les choses généralement classées comme ennuyeuses ou élémentaires sont ce qu’il faut constamment faire, même si cela n’est toujours pas le cas dans de nombreuses entreprises.

Même si une partie de cette fonctionnalité est en place, elle n’est souvent pas exécutée aussi bien qu’elle le pourrait, et ces entreprises n’en tirent pas le meilleur parti pour optimiser les contrôles de sécurité de base, selon Wenzler. “Les outils évoluent et changent, mais les meilleures pratiques en matière de concentration sur les fondamentaux le sont rarement”, a ajouté Wenzler.

Gérer son temps en fonction des marées

Les meilleures pratiques en matière de cybersécurité ressemblent à tout autre outil utilisé par les professionnels de la sécurité pour gérer les risques liés aux informations: elles ne devraient être utilisées qu’en cas de besoin. Malheureusement, les praticiens peuvent parfois avoir une trop grande confiance dans les meilleures pratiques, ce qui, selon M. Morales, peut entraîner le coût des mesures de sécurité les plus appropriées pour une organisation.

«Il est important de rester au courant des évolutions qui façonnent le paysage des normes de sécurité et de la conformité, et de garder à l’esprit les facteurs qui influent sur la gestion du risque d’information dans l’ensemble de l’organisation», a déclaré M. Morales.

Avant de décider d’adopter ou non une nouvelle norme, les professionnels de la sécurité doivent d’abord évaluer son adéquation:

  • Couvre-t-il toutes les questions importantes?
  • Inclut-il les dernières avancées technologiques?
  • Est-ce clair et sans ambiguïté?
  • Fournit-il suffisamment de détails pour être pratique?

Néanmoins, les meilleurs principes resteront inchangés au fil du temps.

«En gros, si j’ai besoin de certaines capacités pour faire quelque chose, je devrais avoir ces capacités, et seulement ces capacités, et seulement les données ou les ressources dont je suis responsable, et seulement le temps nécessaire pour effectuer ces opérations», a déclaré le Dr John Michener, scientifique en chef chez Casaba Security.

La valeur de suivre les meilleures pratiques en matière de cybersécurité

Certes, les ressources en temps sont très limitées pour les professionnels de la sécurité, ce qui soulève la question de savoir si le temps passé à suivre l’évolution des pratiques de sécurité a réellement une valeur. Quel est le retour sur investissement?

“Mettant de côté les obligations de conformité, une approche efficace de la gestion des risques nécessite de mettre l’accent sur les menaces et les expositions les plus courantes qui entraînent les plus graves répercussions sur les activités et les pertes financières”, a déclaré M. Morales. Pour prendre la décision d’adopter une meilleure pratique, il est important de se concentrer sur l’objectif d’améliorer les activités de gestion des risques.

Selon M. Weber, Microsoft a passé plus de 10 ans à intégrer les meilleures pratiques en matière de cybersécurité dans son cycle de vie de développement logiciel (SDLC), et les données indiquent que le retour sur investissement dépasse de loin l’alternative consistant à s’attaquer à la sécurité.

«Le temps et les coûts supplémentaires liés à l’intégration d’une mentalité de sécurité dans la culture de développement ainsi que de points de contrôle techniques tout au long du processus représentent moins que le coût élevé de la réponse aux incidents de sécurité», a déclaré Weber

À mesure que les normes et les directives évoluent, la plupart des organisations, telles que le NIST et le projet de sécurité des applications Web ouvertes (OWASP), examinent et révisent plutôt que d’essayer de redéfinir complètement les meilleures pratiques en matière de cybersécurité. La définition de «meilleur» continuera d’évoluer à mesure que l’évolution de la technologie remettra en cause les pratiques de base établies. Plutôt que de reconstruire de fond en comble, adoptez l’approche zen consistant à réaliser que tout est meilleur, reposez-vous sur un ensemble de pratiques fondamentales et soyez ouvert au changement.