Talking Cyber Security with the Board of Directors

Aborder la cybersécurité avec le conseil d'administration

Un entretien avec Josh Shaul, VP, Web Security Products

Quels sont les éléments de base que les membres du conseil d'administration ont besoin de connaître concernant la cybersécurité, aujourd'hui ?

Les membres du conseil d'administration admettent l'importance croissante de la cybersécurité. L'intérêt et la préoccupation à l'égard de la cybersécurité sont grands. C'est pourquoi elle figure dans leur programme. Cependant, ils ont probablement des degrés très différents de connaissances techniques et ne comprennent donc pas les problèmes de la même manière. Ainsi, la présentation au conseil d'administration de la stratégie de cybersécurité de l'entreprise par le CIO ou le CSO est généralement suivie d'une formation et d'une définition du niveau.

Les membres du conseil d'administration doivent d'abord avoir une idée de l'écosystème des menaces et de la façon dont il évolue constamment. Cela implique la compréhension de certaines notions de base sur les types d'attaques et de défenses. Ils doivent comprendre comment des attaques différentes (attaques DDoS, de logiciels malveillants, Web) requièrent des défenses différentes. La sécurité est complexe.

Ensuite, ils doivent admettre que les défenses traditionnelles de pare-feu de périmètre sont insuffisantes lorsque l'entreprise opère en ligne et est fortement connectée avec des clients et des partenaires, parfois dans le monde entier. Le périmètre doit avoir des ouvertures, mais lorsque les réseaux et les applications sont ouverts aux clients, ils sont aussi ouverts aux attaques. Parce que l'entreprise s'est beaucoup étendue, la sécurité doit être étendue aussi.

Il faut aussi reconnaître qu'une défense complètement hermétique n'existe pas. « L'entreprise est-elle sûre ? » n'est pas une question sous-entendant la réponse oui ou non. Les questions à débattre sont les suivantes : L'entreprise est-elle suffisamment sécurisée pour pouvoir fonctionner ? Quel degré de risque sommes-nous prêts à accepter ? Combien sommes-nous prêts à investir pour réduire le niveau de risque ?

Enfin, savoir que la réussite est locale. Les gros titres à propos d'infractions majeures nous rappellent combien une faille peut être coûteuse et qu'il y a des leçons à tirer des expériences des autres. Cependant, la cybersécurité doit se concentrer sur les menaces et vulnérabilités potentielles spécifiques à l'entreprise, même en présence d'une couverture médiatique.

Dans un monde idéal, qu'est-ce que le CIO ou le CSO souhaiteraient dire au conseil d'administration concernant le dispositif de sécurité local ?

La discussion porterait sur trois sujets : défenses, clients et réponse.

Défenses. Nous avons des défenses efficaces. Nous suivons les changements de l'écosystème des menaces. Nous avons une visibilité sur nos actifs et nos réseaux digitaux. Nous avons fait preuve de la plus grande diligence pour éviter d'être la prochaine victime d'une cyberattaque. En plus des défenses de périmètre, nous disposons d'un bouclier mondial dans le cloud, qui protège nos actifs et nos communications où qu'ils se trouvent. Nous surveillons aussi les communications internes et nous nous protégeons autant contre les menaces internes que les menaces externes. Surtout, nous mettons à l'épreuve et validons régulièrement nos défenses avec des « menaces en direct ». Nous embauchons des pirates experts pour essayer de saboter notre système et corriger immédiatement les failles qui apparaissent.

Clients. Nous surveillons constamment l'accès de nos clients à notre entreprise et souhaitons qu'ils vivent une expérience exceptionnelle et sécurisée en interagissant avec nous. Nous comprenons leurs comportements normaux en ligne et étudions attentivement tout accès anormal. Nous nous assurons que des clients et non des bots se faisant passer pour eux interagissent avec nos systèmes. De plus, nous informons les clients lorsque nous remarquons que des fraudeurs peuvent avoir volé leurs identifiants ou même leur identité. Nous protégeons donc nos clients, leur vie privée et leurs données afin d'entretenir leur confiance.

Réponse. Nous nous préparons, même au pire. Notre équipe est formée. Elle sait comment réagir lorsqu'une attaque ou une infraction se produit. Notre stratégie est définie, nous savons qui nous informerons et contacterons, notamment l'équipe dirigeante, ainsi que le personnel du service juridique et des communications de l'entreprise. Nous savons comment recueillir des preuves et mener des enquêtes scientifiques. Nous passons par des exercices réalistes de réponse aux incidents. Nous ne serons pas pris au dépourvu, car nos processus de réponse aux incidents sont établis et nous nous sommes exercés maintes et maintes fois.

Pour résumer : Nous sommes protégés du mieux possible, nous protégeons nos clients et nous sommes prêts à gérer les imprévus. Vous avez parlé de « monde idéal ». Peu d'entreprises peuvent honnêtement affirmer tout cela aujourd'hui.

Pourquoi ? Quels sont les obstacles ?

La réponse est généralement un manque de financement pour un programme de sécurité plus complet. Cependant, ce n'est que la partie émergée de l'iceberg. Grattez un peu et vous découvrirez que le problème est un manque de contexte et d'orientation. De nombreuses entreprises ont des difficultés à déterminer dans quelle mesure elles ont besoin d'être sécurisées, quel degré de risque elles sont prêtes à accepter ou combien elles sont prêtes à dépenser pour que le risque soit à un niveau acceptable.

Pour franchir ces obstacles, nous recommandons d'élaborer des déclarations officielles pour le goût du risque de l'entreprise. Par exemple, une agence gouvernementale au sein du département du Trésor a un goût du risque assez faible en général concernant la technologie, qu'elle détaille ainsi :
  • Pas de goût du risque pour l'accès non autorisé aux systèmes, les contrôles doivent donc être aussi stricts que possible.
  • Goût du risque faible concernant la résilience commerciale, ce qui signifie que si les systèmes tombent en panne, ils doivent être rétablis rapidement.
  • Goût du risque modéré pour l'utilisation de solutions technologiques innovantes, afin de satisfaire aux demandes des utilisateurs. Il est donc autorisé d'expérimenter dans certaines limites.
Une entreprise commerciale en activité 24 h/24 et 7 j/7, essayant d'élargir ses marchés dans le monde aurait un goût du risque très différent. Le but est de formuler votre position, de définir des limites utiles et de s'y conformer. Pour un secteur aussi important que la cybersécurité, l'harmonisation et la validation du goût du risque doivent s'étendre à l'équipe de direction. De plus, cette équipe doit s'assurer que le conseil d'administration comprend ses décisions.

De telles déclarations de principes directeurs constituent une puissante méthode de gestion. Elles posent des repères, aident à hiérarchiser les objectifs et les actions, et fournissent une base pour prendre des décisions. S'étant accordés sur l'idée générale énoncée dans les principes, les acteurs du secteur sont plus disposés à accepter et à faire des compromis sur la façon dont les détails s'agencent. En outre, les personnes responsables de la gestion des activités et de la prise de décisions tactiques, dans ce cas le CIO et le CSO, peuvent s'appuyer sur des bases plus stables et ont des moyens plus convaincants d'expliquer et de justifier leurs actions.

Veuillez en dire plus sur la façon de déterminer le goût du risque.

Cela permet d'avoir quelques points de référence externes, soit des références du secteur sur la pratique de la sécurité, soit des modèles de maturité plus généraux pour la cybersécurité. Des tiers de confiance peuvent évaluer les capacités de sécurité d'une entreprise et parfois les budgets approximatifs, par rapport aux pairs et aux concurrents du secteur. Les résultats peuvent identifier et justifier les mesures nécessaires, notamment pour éviter de figurer parmi les plus vulnérables aux attaques dans le secteur.

Les modèles de maturité organisent les défenses ainsi que les processus opérationnels et de gestion selon des niveaux de capacité, généralement cinq environ. Une entreprise peut réaliser une évaluation et conclure : « Nous sommes au niveau deux, ce qui est trop faible, nos activités sont trop exposées ». Le modèle de maturité peut indiquer les capacités supplémentaires nécessaires pour atteindre le niveau trois. Les déclarations pour le goût du risque de l'entreprise doivent déterminer l'objectif de niveau de maturité.

Une technique utile est de tester les déclarations pour le goût du risque avec des scénarios locaux et à l'épreuve de la réalité. Par exemple, une entreprise peut tout d'abord penser qu'elle doit servir tous ses clients en ligne 24 h/24 et 7 j/7 sans exception. Toutefois, en cas d'attaque majeure, serait-elle disposée à interrompre un système clé et à interdire l'accès à 30 % de ses clients pour préserver l'accès aux autres ?

Autre exemple : une entreprise peut vouloir une tolérance zéro pour l'accès non autorisé à son réseau. Cependant, c'est un objectif impossible, même pour les agences de sécurité gouvernementales les plus sûres. Dans la plupart des entreprises, un tel accès s'est déjà produit et se produit actuellement. Leur défi est de trouver et de bloquer les intrus. Ainsi, la question réaliste concernant le goût du risque devient : Quels types d'intrusions devons-nous le plus reconnaître et contenir ?

Des scénarios comme ceux-ci devraient être étudiés à l'avance et faire partie de la stratégie de réponse. La planification de scénarios devrait inclure de se mettre dans la position des attaquants et d'anticiper les actifs pouvant être les plus vulnérables. Vous préférerez certainement effectuer ces démarches plutôt que de prendre des décisions clés à la volée pendant une attaque et dans le feu de l'action.

Le processus d'élaboration et de test des déclarations pour le goût du risque est répétitif, souvent centré sur les coûts et axé sur les éléments nécessaires réels pour atteindre les objectifs de sécurité. « Nous avons besoin d'un niveau de sécurité X. » « Cela coûtera 30 millions de dollars. » « D'accord, dans ce cas, nous pouvons vivre avec moins de X. » Les déclarations pour le goût du risque peuvent également être modifiées à la suite d'attaques, soit en reconnaissant la nécessité d'une meilleure sécurité, soit en reconnaissant la réalité que l'entreprise a un profil de risque surévalué.

Enfin, et surtout, les déclarations pour le goût du risque ne peuvent pas être génériques ou théoriques. Elles doivent être suffisamment spécifiques à la situation de votre entreprise pour aider les gens à prendre des décisions et à faire des compromis, même les plus difficiles.

Vous avez mentionné la visibilité sur l'environnement informatique. Cela doit être un fondement pour une sécurité efficace.

Ça l'est assurément. Plus votre visibilité est complète, sur les actifs, les connexions, l'activité du réseau, les vulnérabilités, plus vous pouvez protéger l'environnement dans sa globalité. Malheureusement, les choses ne sont pas aussi simples.

Une sécurité complète a besoin d'un inventaire précis des réseaux, des systèmes et des données de l'entreprise pour commencer. C'est un défi sur plusieurs fronts. Un exemple fréquent est l'emplacement des données sensibles. De nombreuses entreprises ne savent pas où elles sont stockées. Un autre défi est de définir la surface de réseau de l'entreprise : toutes les connexions, tous les partenaires et toutes les URL qui pourraient conduire à l'environnement informatique. Dans une grande entreprise en ligne depuis longtemps, un inventaire complet peut être très difficile à réaliser.

Même avec un bon inventaire, la visibilité d'une entreprise sur son environnement peut être incomplète pour plusieurs raisons :
  • L'entreprise peut ne pas savoir où chercher ou quoi chercher. Dans ce cas, elle peut recourir à des conseils d'experts.
  • Elle peut ne pas savoir comment chercher. Dans ce cas, elle peut également s'aider d'outils technologiques pour contrôler l'infrastructure.
  • Elle peut ne pas vouloir chercher par peur de ce qu'elle trouvera...
C'est un domaine délicat et peut-être une « vérité qui dérange » dans la communauté de la sécurité. Il peut y avoir des zones d'ombre sur lesquelles les entreprises ne souhaitent pas attirer l'attention, car elles seront alors obligées de réparer ce qu'elles trouvent, ce qui pourrait s'avérer difficile et coûteux. Parfois, il peut vous sembler préférable de ne pas connaître vos problèmes. Mais ce n'est pas le cas.

Ignorer les problèmes n'est pas la bonne méthode. L'ignorance ne sert pas d'excuse après une infraction. Néanmoins, trouver les problèmes et ne pas les résoudre peut être acceptable. C'est une question de priorités. Aucune entreprise n'a l'argent, le personnel et d'autres ressources pour tout réparer. De plus, il y a une tension inévitable entre les capacités défensives, le coût et les risques de l'entreprise. Nous revenons donc au goût du risque. Avec une visibilité et une connaissance complètes, vous pouvez vous concentrer sur la correction des failles qui représentent le plus grand risque. L'entreprise peut alors fonctionner confortablement dans les limites de son goût du risque.

Pour conclure, donnez-nous les points à retenir pour les CIO et les CSO.

Premièrement, lorsque vous travaillez avec le conseil d'administration, abordez des questions allant au-delà de l'état des défenses techniques et du risque d'attaque. Discutez aussi de la protection du client, ainsi que de l'état de préparation de l'organisation de la sécurité et des procédures de réponse aux incidents en cas d'attaque. Ensemble, ces sujets représentent une diligence raisonnable complète.

Deuxièmement, le conseil d'administration doit comprendre que l'entreprise ne peut jamais être totalement sécurisée. Cependant, elle peut fonctionner dans les limites d'un goût du risque résolument déterminé et acceptable. De manière générale, le PDG et le conseil d'administration doivent être en mesure de communiquer la stratégie en matière de sécurité et le goût du risque aux acteurs du secteur : les clients, les employés, les organismes de réglementation et les actionnaires.

Troisièmement, les responsables de la sécurité rencontrent souvent des difficultés pour obtenir les ressources dont ils ont besoin pour s'acquitter de leurs responsabilités. Beaucoup trouvent compliqué de communiquer la valeur commerciale et la nécessité de programmes de sécurité aux contrôleurs financiers. Il est utile de communiquer régulièrement avec l'équipe de direction et le conseil d'administration concernant la cybersécurité et le goût du risque. La clé pour débloquer des ressources peut être de se comparer aux pairs du secteur. Cependant, gardez à l'esprit le fait que les besoins en sécurité adaptés au risque peuvent ne pas inclure tout ce que les responsables de la sécurité aimeraient accomplir.

Quatrièmement, lorsque les capacités de sécurité et le goût du risque sont tous deux clairs, les programmes et les processus de cybersécurité peuvent aider l'entreprise à définir les limites de l'action. La sécurité ne doit pas seulement être synonyme d'interdiction, mais signifier aussi « voici votre liberté de mouvement pour agir et innover en ligne ». Le personnel de la cybersécurité devrait être impliqué très tôt dans la conception et le développement de nouvelles initiatives d'entreprise. La cybersécurité devrait permettre la progression de l'entreprise tout en empêchant l'évolution de ses adversaires.

Related CIO Content