En cybersécurité, il est sage de se spécialiser. La sécurité de l’information ne consiste pas seulement à tenir les pirates à distance. Il existe un cycle de vie complet associé à la gestion des risques et au processus de sécurité.
Les plus petites entreprises peuvent avoir juste une ou deux personnes embauchées pour faire de la cybersécurité. Ils couvrent autant de terrain que possible et sous-traitent le reste. Mais les grandes entreprises commerciales – et les sociétés de sécurité qui les servent – sont soutenues par un certain nombre de spécialisations fonctionnelles exigeant différents ensembles de compétences avec différentes responsabilités de reporting dans l’entreprise.
Politique et architecture de cybersécurité
Une cybersécurité réussie n’est pas motivée par des pirates. Une cybersécurité réussie est motivée par la politique. Et la création de politiques de cybersécurité réussies nécessite un ingénieur expérimenté, généralement quelqu’un qui a de nombreuses années dans l’entreprise et de nombreuses années dans l’informatique, pour gérer des compromis complexes.
Cet architecte de cybersécurité doit maîtriser le langage de la politique d’entreprise. L’architecte de cybersécurité traduit ensuite la politique de l’entreprise en processus métier, normes de données et structures de données. Ce membre du personnel trie les alternatives dans la politique et leur architecture correspondante pour trouver la meilleure solution aux problèmes prévisibles. Et ce membre du personnel connaît de nombreux produits, protocoles et situations d’exception pour trouver la meilleure solution aux problèmes imprévisibles. Comme le dit l’expert en cybersécurité Dave Buster, les architectes utilisent des cadres pour l’architecture dans des structures accessibles à la direction.
Prévention de la perte de données
La prévention de la perte de données, également appelée DLP, est l’activité à laquelle de nombreux consommateurs pensent lorsqu’ils pensent à la cybersécurité. DLP déploie des applications de sécurité sur les serveurs et les terminaux. Dans de nombreux contextes, DLP implique la connexion de services sur le back-end pour envoyer des mises à jour via un client avancé. Les ingénieurs impliqués dans DLP maintiennent le système à jour et résolvent les conflits entre les applications, par exemple les problèmes de fonctionnement entre les nouveaux antivirus. La fonction DLP assure la sécurité des données dans les bases de données et sur les serveurs. Il maintient le logiciel essentiel qui permet aux utilisateurs de se connecter au début de chaque quart de travail. Et il engage le personnel sur les questions de confidentialité et la conformité au règlement général sur la protection des données (RGPD).
Gouvernance, risques et conformité
La gouvernance, les risques et la conformité, également connu sous le nom de GRC, est le «vérificateur de la sécurité». Les analystes qui remplissent cette fonction identifient et quantifient les risques, effectuent des audits internes par rapport aux principes et meilleures pratiques généralement acceptés, et élaborent des plans de reprise après sinistre et de continuité. Ces professionnels doivent avoir une compréhension globale de l’activité, car leur évaluation des risques de cybersécurité doit correspondre à la compréhension de la haute direction des risques de l’entreprise.
Les professionnels de GRC vérifient le travail d’autres spécialistes de la cybersécurité par rapport aux listes de contrôle communément acceptées telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS). Ils peuvent eux-mêmes détenir des certifications telles que Qualified Security Assessor (QSA) et Internal Security Assessor (ISA). Dans les entreprises aux États-Unis, ils peuvent auditer les normes de cybersécurité des entreprises par rapport au Risk Management Framework (RMF). Dans toutes ces tâches, ils doivent maintenir des communications claires et ouvertes avec le reste de l’entreprise pour pouvoir communiquer leurs conclusions et leurs besoins d’amélioration jusqu’à ce que les problèmes de cybersécurité soient résolus.
Gestion des identités et des accès
La gestion des identités et des accès, également appelée IAM, fonctionne sur tous les systèmes et toutes les plates-formes pour gérer l’identification, les autorisations et les autorisations. Ce sont des experts en cybersécurité qui comprendront les problèmes d’utilisation et de sécurité sur des appareils allant des smartphones et tablettes aux ordinateurs de bureau et aux serveurs aux mainframes.
Les professionnels de l’IAM servent souvent également de responsables de l’application dans toute l’entreprise. Dans ce rôle, ils doivent comprendre la nuance de la mise en œuvre des politiques dans l’ensemble de l’organisation. Ils suivent les derniers développements en biométrie et en identification multifactorielle. Et ils doivent maîtriser les langues de l’architecture cloud et une myriade de protocoles et de technologies, OpenID et OAuth, par exemple, généralement tout en travaillant avec un personnel plus petit que d’autres services de cybersécurité. Mais comme l’attaque la plus courante contre les données propriétaires est les informations d’identification des utilisateurs, ils doivent faire preuve de diligence dans leur travail.
Tests de pénétration
Même les plus grandes entreprises sous-traitent généralement les tests d’intrusion. L’équipe de test d’intrusion attaque intentionnellement les systèmes de la même manière qu’un hacker black hat le ferait. De toute évidence, les tests de pénétration réalisés en interne mettent les relations interpersonnelles sous tension. Il est difficile pour les testeurs d’intrusion qui connaissent le personnel de l’entreprise d’effectuer «des tests d’ingénierie humaine dans lesquels ils tentent de convaincre les utilisateurs d’abandonner des informations sensibles. Une équipe de pénétration externe dédiée ne subit aucune pression interpersonnelle et est libre de développer une expertise approfondie dans les techniques de test.
Réponse aux incidents
Même une cybersécurité supérieure subit des violations occasionnelles. L’équipe de réponse aux incidents détecte et analyse les failles de sécurité et prescrit les actions appropriées. Cela peut être aussi simple que de mettre un ordinateur ou un appareil hors ligne. La réponse la plus efficace dans certaines situations pourrait être de mettre un logiciel dans le bac à sable pour le tester afin de déterminer s’il s’agit d’un malware. Et certaines failles de sécurité nécessitent des réponses beaucoup plus drastiques.
Les professionnels de l’équipe de réponse aux incidents font plus que détecter les menaces. Ils mènent leur travail en connaissant les règles de preuve en salle d’audience. L’équipe doit être en mesure non seulement de montrer ce qu’un attaquant a fait et quand l’attaquant l’a fait, mais aussi de présenter ces faits d’une manière qui résistera à l’examen des tribunaux.
Gestion sécurisée du cloud (ou du centre de données)
Chaque entreprise a besoin d’une personne travaillant sur la gestion du cloud ou les opérations de son centre de données. Cette équipe est responsable de l’installation, de la configuration et de l’exploitation des logiciels et des systèmes. C’est l’équipe qui assure le fonctionnement de la détection d’intrusion, des pare-feu et des modules de sécurité matériels (HSM) dédiés pour maintenir les certificats et clés sensibles. Souvent connue sous le nom de DevOps sécurisé, cette équipe gère les fonctions de base de données en toute sécurité.
Développement logiciel sécurisé
Certaines organisations écrivent et vendent des logiciels. Certaines organisations écrivent leur propre logiciel à usage interne. Toute entreprise qui écrit des logiciels a besoin d’une équipe pour tester le produit à différents stades de développement pour s’assurer que les vulnérabilités sont minimales. Ils travaillent en étroite collaboration avec l’équipe de politique et d’architecture de cybersécurité à la fois en inspectant le code et en surveillant le comportement d’exécution pour s’assurer que les applications sont sécurisées.
Opérationnaliser la cybersécurité
Les entreprises du Fortune 500 ont un personnel massif dédié à toutes ces fonctions de cybersécurité. Les petites entreprises peuvent avoir des professionnels de la cybersécurité remplissant plusieurs rôles. Et les plus petites entreprises peuvent avoir besoin d’externaliser l’ensemble de leur fonction de cybersécurité. Mais les entreprises de toutes tailles peuvent mettre en œuvre la cybersécurité grâce aux trois exercices suivants.
Feindre et former
Une façon pour les entreprises de toutes tailles de tester leur cybersécurité est d’envoyer un e-mail de phishing simulé pour voir qui prend l’appât. Les entreprises, grandes et petites, utilisent cette technique pour identifier les faiblesses du personnel et pour minimiser l’erreur humaine. Les personnes, et non la technologie, sont les causes les plus courantes de violation de données.
L’évaluation des risques
Même les plus grandes entreprises externalisent généralement leur évaluation des risques de cybersécurité. S’assurer que les réseaux et systèmes informatiques adhèrent à des protocoles de sécurité stricts pour protéger les données sensibles est une tâche qu’il vaut mieux laisser à un audit externe. Le rapport d’audit de cybersécurité à son tour peut conduire à un plan d’action clair pour l’amélioration.
Préparation à la réponse
Les cyberattaques sont inévitables. La vigilance et la formation régulière du personnel sont indispensables même lorsque des systèmes sécurisés sont en place. La direction doit être prête pour les cyberattaques non contrôlées en décidant quels services doivent être restaurés en premier, qui répondra lorsqu’un système est attaqué et combien de temps un système peut être autorisé à rester hors ligne.
Ce sont des fonctions qu’aucune entreprise ne peut se permettre de se tromper. De nombreuses entreprises sont mieux servies par l’externalisation de la cybersécurité à des spécialistes.
Votre entreprise devrait-elle externaliser la cybersécurité?
De nombreuses entreprises n’ont tout simplement pas les ressources nécessaires pour assurer leur propre cybersécurité complète. Le «technicien informatique» peut télécharger un logiciel antivirus et conserver les informations d’identification des utilisateurs. L’équipe de direction peut développer des politiques de cybersécurité crédibles mais peut manquer de personnel et de ressources pour les mettre en œuvre. Ou l’entreprise peut simplement avoir besoin de se concentrer sur ce qu’elle fait le mieux.
La plupart des petites et moyennes entreprises, commerciales et à but non lucratif, sont bien servies par l’externalisation de la cybersécurité. Voici quelques-unes des raisons pour lesquelles.
Les agences de régulation peuvent rendre les défaillances de cybersécurité extrêmement coûteuses. Il n’y a pas de meilleur exemple de ce fait d’exploitation commerciale que les amendes infligées par le Bureau des droits civils (OCR) du Département américain de la santé et des services sociaux. Au cours des cinq dernières années, l’OCR a infligé des amendes totalisant 116 millions de dollars américains à 75 entreprises pour des violations de données affectant la vie privée des patients. Et ce ne sont pas seulement les violations de la loi HIPAA (Health Insurance Portability and Accountability Act) qui peuvent devenir extrêmement coûteuses. Les entreprises réglementées par le SOC, la PCI DSS et le RGPD sont tenues non seulement de maintenir la cybersécurité, mais également de documenter leur adhésion aux protocoles de cybersécurité obligatoires. Les régulateurs exigent des entreprises qu’elles prouvent qu’elles ont pris des mesures proactives pour protéger leurs données, et les tribunaux prendront en compte les pratiques de cybersécurité lors de l’évaluation des dommages après une cyberattaque.
L’externalisation de la cybersécurité vous donne accès à des experts dans le domaine. Il est extrêmement difficile pour les petites organisations de conserver l’expertise nécessaire pour identifier, classer et corriger les principales vulnérabilités des données. Il est encore plus difficile pour un petit personnel de se tenir au courant des dernières cybermenaces auxquelles votre organisation peut être vulnérable. Une expertise externalisée en cybersécurité permet à votre entreprise de rester à jour contre les dernières menaces et vous aide à y répondre rapidement.
L’externalisation de la cybersécurité permet d’économiser de l’argent. Lorsque vous sous-traitez le personnel de cybersécurité, vous n’avez pas besoin d’embaucher autant de personnel à plein temps avec des salaires à plein temps. Vous disposez d’une couche de protection contre les réclamations des clients. Vous économisez de l’argent en subissant moins de temps d’arrêt requis pour identifier et répondre aux cybermenaces, et vous pouvez vous concentrer sur ce que vous faites de mieux.
Votre entrepreneur en cybersécurité a probablement tout vu. Ils traitent presque tous les piratages, téléchargements de logiciels malveillants et cybermenaces potentiels dans le monde interconnecté. Ils sont à jour et disposent de tactiques et de techniques actuelles pour lutter contre la cybercriminalité.
Ne payez pas le prix de l’escalade de la courbe d’apprentissage en essayant de faire votre propre cybersécurité. Externaliser avec un fournisseur de cybersécurité que vous connaissez et en qui vous avez confiance.
