Les professionnels de la sécurité de l’information devraient être plus agressifs dans leurs stratégies de cybersécurité, a déclaré un expert lors de la conférence MapleSEC de cette semaine.
Cela ne signifie pas de pirater ou de s’attaquer à l’infrastructure des cybercriminels, a déclaré Nick Aleks, directeur principal de la sécurité chez la fintech Wealthsimple. Au lieu de cela, a-t-il déclaré, les RSSI et leurs équivalents doivent cesser d’être réactifs aux cybermenaces.
Aleks était le conférencier principal de la dernière conférence MapleSEC, organisée par IT World Canada et qui se poursuit en ligne aujourd’hui.
Malheureusement, a déclaré Aleks, la plupart des responsables de la sécurité informatique ont des cadres de cybersécurité rigides et ils ne conduisent pas de test des systèmes de manière régulière. Adopter une approche proactive pour construire un programme de sécurité signifie s’attendre à ce qu’une brèche se produise. « Vous devez avoir un état d’esprit du “quand” et non du “si” vous allez être touché », a souligné Aleks.
« La lutte en matière de sécurité est un ensemble simple de cinq principes fondamentaux que vous pouvez intégrer et adopter dans votre organisation », a-t-il déclaré.
— Adopter une attitude proactive vis-à-vis de la cybersécurité. « Il s’agit de penser à ce que vous allez faire quand quelque chose de mal se produira, et non d’essayer d’empêcher que quelque chose de mal se produise. Vos contrôles, vos employés et votre stratégie doivent tous être alignés sur cela. »
— Adopter une approche unifiée de la cybersécurité. Trop d’organisations abordent la cybersécurité en silos, où les informations sur les menaces sont conservées dans certains départements. Non seulement les informations sur les menaces doivent être partagées entre les unités commerciales, a déclaré Aleks, mais elles doivent également être partagées avec d’autres entreprises et les forces de l’ordre.
Tout le personnel doit être impliqué dans la cybersécurité. Commencez par créer un programme de champions de la sécurité à partir de différentes unités commerciales et faites-les rejoindre l’équipe de sécurité. Ils feront également partie de votre réponse aux attaques et de votre stratégie de confinement.
Le partage en dehors de votre organisation est également vital. « Les problèmes auxquels vous êtes confrontés aujourd’hui dans votre programme de sécurité ne sont pas nouveaux », a déclaré Aleks. « Tout le monde en dehors de votre espace est également confronté à ces mêmes problèmes. »
« Ce n’est pas correct de garder pour nous des renseignements », a-t-il ajouté. « Ce n’est que lorsque nous nous unirons que nous pourrons combattre les cybercriminels. »
— Penser en termes d’assurance de sécurité continue. Ne vous contentez pas d’implémenter de nouveaux matériels/logiciels/politiques après un incident et à vous attendre à ce que cela résolve les problèmes. Testez vos contrôles de sécurité régulièrement (au moins tous les trimestres) et faites des répétitions de votre réaction aux attaques attendues.
« Vous n’avez pas nécessairement besoin d’investir dans un outil de simulation d’attaque par brèche ou d’engager une société de test d’intrusion », a-t-il ajouté. Examinez attentivement votre dernier grand incident cybernétique. Faites plus que trouver la cause première et assurez-vous qu’elle ne mène pas à un autre compromis. Un post-mortem doit vous permettre de voir à quel point vous avez été efficace, demandez-vous en quoi votre réponse aurait pu être meilleure. « Ce n’est qu’alors que nous deviendrons vraiment bons pour combattre les incendies », a-t-il déclaré.
— Avoir un programme de sécurité flexible. L’application de contrôles de sécurité de haut en bas ne fonctionnera pas toujours. Au lieu de cela, travaillez avec les employés avant qu’ils ne travaillent contre vous. Trouvez les procédures les plus flexibles, faciles et simples pour les employés. Cela aidera entre autres à contourner le « shadow IT » (utilisation d’appareils personnels non approuvés pour se connecter au réseau de l’entreprise). Cela permettra également aux employés et aux clients de travailler avec la sécurité, et non contre elle. Trouver des moyens sûrs de faire quelque chose implique une conversation, a-t-il déclaré.
— Avoir un plan pour cesser d’être le département du “Non”. Établissez la confiance, et non la peur, entre les employés. Parlez des avantages pour les clients d’avoir un programme de cybersécurité solide.
Adaptation et traduction française par Renaud Larue-Langlois.
