Identifying Hazards to Better Prepare for Cyberattacks

Identifier les dangers pour mieux se préparer face aux cyberattaques

Par Bob Violino

Les directeurs des systèmes d'information (CIO) devraient explorer, si ce n'est adopter, une stratégie de défense globale, afin d'aborder plus efficacement la sécurité et de mettre l'accent sur les risques internes qui pourraient mener à des failles coûteuses.

Quel est le coût ? Un incident de déni de service distribué (DDoS) peut coûter à une institution financière en moyenne 1,2 million de dollars pour la récupération, comparé à 952 000 dollars pour les entreprises dans d'autres secteurs, selon un rapport 2017 de Kaspersky Lab.

Identifying Hazards to Better
Une approche globale défend contre les menaces surprenantes en obligeant les entreprises à examiner et à analyser les risques existants.

Certaines entreprises, comme le fournisseur mondial de plateforme de diffusion dans le cloud Akamai Technologies, ont fait de la défense globale une composante clé de leurs programmes de cybersécurité.

Traditionnellement, la cyberdéfense a été fondée sur des exigences dictées par le respect de la réglementation ou les normes du secteur. Les défenses n'avaient donc peut-être pas grand-chose à voir avec les menaces et failles de sécurité réelles d'une entreprise.

« Avec cette approche, vous n'attendez pas et n'anticipez pas les changements dans le paysage de la sécurité, » explique Andy Ellis, Chief Security Officer chez Akamai.

Le point notable est qu'une stratégie traditionnelle peut ne pas tenir compte des dernières menaces de ransomware ou de DDoS. Dans tous les cas, elle peut paralyser une entreprise si celle-ci n'est pas prête à se défendre.

Élargissement des défenses

Une approche globale défend contre les menaces surprenantes en obligeant les entreprises à examiner et à analyser les risques existants. Souvent, ces risques sont basés sur des variables qui incluent le type d'entreprise, son mode de fonctionnement en ligne, sa localisation et l'accès qu'elle fournit aux employés, aux partenaires commerciaux et aux clients.

Avec une défense globale, avant de lancer une nouvelle application sur le Web, une entreprise inventorierait d'abord les dangers possibles relatifs à ce changement.

« Un exemple de danger serait une base de données d'applications en ligne, » explique M. Ellis. « Vous devez prendre du recul et vous demander : quelles sont les pertes inacceptables auxquelles nous nous exposons en faisant cela ? »

Si l'application risque d'exposer une base de données qui héberge des informations personnelles de clients, par exemple, cela serait considéré comme une perte inacceptable et le projet ne serait pas lancé, à moins que le risque ne soit atténué.

Gérer la sécurité de cette manière pourrait aussi faciliter la tâche des responsables de la sécurité consistant à promouvoir l'importance d'une protection auprès des dirigeants d'entreprise. Au lieu de dire aux dirigeants de secteurs d'activité qu'un nouvel ensemble de défenses est disponible, par exemple, un responsable des technologies de sécurité de l'information détaillerait les conséquences d'une infraction.

« Il pourrait être difficile de vendre à une entreprise un Web Application Firewall, mais il est facile de le lui vendre en expliquant qu'il est essentiel de protéger les données que nous ne voulons pas exposer, » commente M. Ellis. « Cette approche vous permet de lier les outils que vous souhaitez acquérir aux risques que vous essayez d'atténuer. La clé est de mettre l'accent sur le danger. »

Le travail pour les responsables de la sécurité et des CIO est de s'assurer que tous les principaux dangers ont été traités.

En procédant à un inventaire complet, « vous êtes plus susceptibles de vous défendre contre des adversaires inconnus, » affirme M. Ellis.

La nature de la ressource et son emplacement rendent l'entreprise vulnérable, indépendamment de la menace, qu'il s'agisse d'une injection SQL ou d'un autre type d'attaque pas encore imaginé.

Développer des relations

Une stratégie de défense globale peut aider à trouver un financement pour des initiatives de sécurité. Cependant, le financement peut ne pas constituer la difficulté.

« Sensibiliser les partenaires commerciaux : voilà le plus difficile, » confie M. Ellis.

Les partenaires de secteurs d'activité doivent être informés des risques pour l'entreprise. « Cela implique de développer des relations avec les partenaires commerciaux, ce qui peut s'avérer compliqué, » poursuit-il.

C'est au CIO et au responsable de la sécurité de montrer la voie en passant à une défense globale, en sensibilisant les autres aux pertes inacceptables.

« L'idée de créer une défense globale est encore peu répandue auprès de nombreuses entreprises, même si certaines dans le secteur des services financiers y ont recours depuis un certain temps, » explique M. Ellis.

Le concept peut fonctionner indépendamment du type et de la taille de l'entreprise, bien que les petites entreprises qui manquent de ressources internes puissent avoir besoin d'aide pour commencer. Cette aide peut provenir d'un fournisseur de services de sécurité gérés.

D'après M. Ellis, en adoptant cette approche, une entreprise peut élaborer un programme de sécurité basé sur les risques réels et plus étroitement adapté aux éléments nécessitant une protection.

Bob Violino est un auteur indépendant dans le monde des affaires et de la technologie. Il est expert dans les domaines du Cloud Computing, de la cybersécurité et du Big Data.

Related CIO Content