Bénéficiez d'une meilleure visibilité sur les risques pour répondre aux exigences de conformité en matière de sécurité

Si vous ne voyez pas une vulnérabilité ou un risque, vous ne pouvez pas prendre de mesure pour réduire ou corriger le problème, ni montrer aux organismes de réglementation que vous maîtrisez la situation. Cependant, la visibilité est un défi courant pour les équipes de cybersécurité. 

Une étude de 2024 menée par Forrester révèle que plus de la moitié (52 %) des sociétés financières sont d'accord ou tout à fait d'accord pour reconnaître qu'elles n'ont pas une visibilité suffisante sur leur parc informatique. Les enjeux de la non-conformité sont élevés pour tous les secteurs. Le nombre d'entreprises qui paient des amendes réglementaires de plus de 100 000 USD a bondi de près de 20 % entre 2023 et 2024.

Dans le premier article de blog de notre série sur la conformité, nous avons montré l'intérêt d'associer les mesures de conformité réglementaire à une approche de sécurité multicouche. L'adoption d'une approche proactive pour combler vos lacunes en matière de visibilité peut vous aider à répondre aux exigences suivantes de conformité en matière de sécurité :

• Démontrer vos mesures de contrôle
• Réaliser des évaluations de la gestion des risques
• Créer des rapports pour les audits

Dans cet article, nous allons étudier les problèmes de visibilité auxquels les entreprises font face en matière de sécurité réseau et de protection des API, et discuter des mesures supplémentaires que les entreprises peuvent prendre pour renforcer leur conformité. L'adoption de mesures de sécurité efficaces peut vous aider à répondre aux exigences réglementaires. Et si vous constatez un risque, vous êtes mieux placé(e) pour l'atténuer.

Les responsables de la cybersécurité nous disent que leurs équipes n'ont pas les capacités nécessaires pour surveiller efficacement le trafic réseau et, par conséquent, ne peuvent pas voir les facteurs de risque tels que les ressources qui communiquent entre elles. Ce critère est essentiel pour les réglementations telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS v4.0) et le règlement général sur la protection des données (RGPD). 

Ces deux normes exigent que les données concernées soient séparées des autres systèmes d'un environnement informatique et que les mesures mises en place soient documentées. La visibilité du réseau est également essentielle pour les systèmes de gestion de la sécurité de l'information (ISMS) tels que la norme IEC 27001 de l'Organisation internationale de normalisation (ISO), qui exige la séparation des données et des sites de traitement des données pour éviter les mouvements latéraux en cas d'intrusion d'un pirate dans le réseau.

Les entreprises disposent souvent de couches de base en matière de visibilité. Par exemple, les pare-feux réseau traditionnels offrent une visibilité limitée. Cependant, ces couches n'ont pas évolué au même rythme que les entreprises, qui disposent désormais d'un parc informatique complexe comprenant des environnements cloud et des microservices. Par conséquent, les équipes de sécurité ne peuvent pas :

• garantir que l'entreprise respecte les exigences des diverses normes dans les nombreuses régions où elle exerce son activité, vend ses produits et services et/ou fait appel à des tiers ;

• comprendre clairement comment les applications et les utilisateurs finaux communiquent et interagissent avec les bases de données sur l'ensemble des réseaux.

Ces lacunes en matière de visibilité empêchent les entreprises de démontrer efficacement aux organismes de réglementation la manière dont elles détectent les cybermenaces et se protègent contre les attaques qui peuvent entraîner le vol de données, une interruption de l'activité et l'installation de logiciels malveillants. Le manque de visibilité complique également le respect des exigences techniques, telles que l'exigence 1 de la norme PCI DSS v4.0, selon laquelle les pare-feux doivent être configurés pour interdire les connexions entre les réseaux de confiance et les réseaux non fiables.

L'une des solutions pour résoudre ce manque de visibilité du trafic réseau consiste à ajouter une couche de microsegmentation définie par logiciel pour visualiser, surveiller et identifier la communication entre les ressources du réseau. Cette approche offre les avantages suivants :

• Un contrôle granulaire des interactions réseau qui aide les entreprises à comprendre, isoler et empêcher le trafic réseau illégitime entre les terminaux d'un centre de données spécifique (ex. : trafic est-ouest) sur des réseaux complexes sur site et dans le cloud

• Des fonctionnalités permettant d'atténuer et de contenir les attaques par ransomware en divisant un réseau en segments dans lesquels des contrôles de sécurité peuvent être définis pour les attributs de risque de chaque segment

• Une meilleure visibilité est-ouest, afin que les équipes de sécurité puissent mieux voir « qui a accès à quoi », notamment en ce qui concerne les ressources sensibles telles que les données de carte de crédit des clients

Lorsque vous réfléchissez aux couches de microsegmentation permettant d'améliorer la visibilité de votre entreprise sur le réseau, recherchez des fonctionnalités qui offrent des informations en temps réel et historiques. Vous pourrez ainsi fournir des attestations lors des audits de conformité pour prouver que les données et les ressources concernées n'ont pas été compromises.

Nous savons également que certaines équipes de sécurité ont du mal à obtenir une visibilité complète sur leur parc d'API en pleine expansion. Chaque fois qu'un client, un partenaire ou un fournisseur interagit électroniquement avec une entreprise, les API transmettent des données (souvent sensibles) en arrière-plan. Aujourd'hui, les cybercriminels savent que les API sont très vulnérables (et relativement faciles à pirater) en raison de configurations erronées, de contrôles d'authentification insuffisants et d'erreurs de programmation.

De nombreuses entreprises ne peuvent voir qu'une partie de leur parc informatique global, car beaucoup d'API restent dans l'ombre et ne sont pas détectées par les outils de protection des API traditionnels. Selon notre étude 2024 des impacts sur la sécurité des API, seuls 27 % des professionnels de la sécurité ayant réalisé un inventaire complet de leurs API savent exactement quelles API renvoient des données sensibles, contre 40 % en 2023.

Les données filtrées par secteur révèlent une visibilité encore plus réduite sur les API qui envoient des données sensibles en réponse aux requêtes, qu'elles proviennent d'utilisateurs légitimes ou de pirates.

• Santé : seulement 24 % des API
• Assurance : seulement 20,7 % des API
• Gouvernement/secteur public : seulement 18,5 % des API

Prenons l'exemple du secteur de la Santé pour illustrer les enjeux : si un acteur malveillant peut facilement manipuler une API mal configurée d'un fournisseur pour récupérer des dossiers de patients, cette manipulation peut entraîner une surveillance accrue de la part de l'HIPAA ainsi que des sanctions financières.

Les API sont explicitement mentionnées dans certaines réglementations. Par exemple, la norme PCI DSS v4.0 contient des recommandations pour confirmer que le logiciel d'une entreprise utilise les fonctions de composants externes en toute sécurité. Cela inclut les API qui transmettent des informations de paiement, comme les données de carte de crédit d'une application pour mobile, au système d'une banque. 

Dans d'autres cas, les API ne sont pas directement mentionnées, mais les exigences se concentrent clairement sur la sécurisation des technologies qui utilisent des API dans le cadre de leur fonctionnement. Par exemple, la loi sur la résilience opérationnelle numérique (DORA) de l'Union européenne, vise à aider les entreprises de services financiers des États membres de l'Union européenne à résister aux cyberattaques et à s'en remettre.

L'article 3 de la loi DORA exige que les entreprises utilisent des solutions et des processus de technologie de l'information et de la communication (TIC) qui :

• réduisent au minimum les risques de sécurité liés aux données, les accès non autorisés et les défauts techniques ;

• empêchent l'indisponibilité des données, la perte de données et les violations de données relatives à l'intégrité et à la confidentialité ;

• garantissent la sécurité du transfert des données.

La fonction principale d'une API est de permettre un transfert de données fiable et sécurisé. Par conséquent, la détection, l'évaluation des risques et la sécurisation de chaque API qui entre en contact avec les données d'entreprise sont essentielles pour répondre aux exigences de la loi DORA. 

Ces contrôles contribueront également à améliorer la conformité à la norme PCI DSS, au RGPD et à de nombreuses autres obligations visant à garantir la cyber-résilience et la sécurité des données. Si vous envisagez de renforcer vos contrôles pour bénéficier d'une meilleure visibilité sur les API et leurs risques, voici quelques fonctionnalités à privilégier :

• Capacité à détecter toutes les API de votre environnement informatique, gérées et non gérées, y compris les API zombies et fantômes

• Capacité à évaluer les facteurs de risque de chaque API (ex. : types de données échangées, personnes ou entités pouvant accéder à ces données)

• Capacité à visualiser des informations contextuelles pour identifier les risques tels que les fuites de données, les comportements suspects, les bots malveillants et les attaques d'API

• Capacité à documenter les flux de données 

• Capacité à générer des rapports de conformité qui établissent des correspondances entre la posture de sécurité des API d'une entreprise et les normes réglementaires

Pour conclure, nous pensons que le respect des cadres et des réglementations de conformité en matière de sécurité de l'information nécessite une approche multicouche visant à protéger les différents domaines à risque.

Les prochains articles de cette série aborderont les meilleures pratiques de sécurité directement liées aux exigences actuelles des organismes de réglementation en matière de gestion de la conformité de la sécurité. Cela inclut la prévention des mouvements latéraux sur le réseau, les applications et les API.