Pensez-vous toujours qu’un pare-feu correctement installé est la pierre angulaire de votre cybersécurité ?
Et quels sont les autres éléments auxquels vous pensez en termes de cybersécurité ?
- Le filtrage et la surveillance du Web,
- Des droits d’accès bien gérés,
- La gestion des identités,
- La gestion des accès privilégiés,
- La sécurité du réseau,
- Le cryptage,
- La corrélation et l’analyse des événements de sécurité,
- Le centre opérationnel de sécurité,
- Une équipe d’analystes de sécurité,
- Des systèmes à jour,
- Une bonne stratégie de sauvegarde,
- Un plan de récupération après sinistre.
Tout ceci est fort intéressant, mais rien de tout cela n’a d’importance si vous n’avez pas mis en place une base solide.
Réfléchissez, pensez à ce que vous protégez. En fait, vous ne protégez pas les serveurs, ni les commutateurs ou même les réseaux. La seule raison d’être de la cybersécurité est de protéger les données. Même si vous proclamez que vous protégez les identités afin que les pirates ne s’introduisent pas dans votre réseau, il faut que vous réalisiez que ce que les pirates visent ce sont vos données.
Donc, toutes ces technologies fantastiques ne servent qu’un seul objectif, celui de protéger vos données.
Les données au cœur du problème
La protection des données doit être le point de départ de toute stratégie de cybersécurité. Lors des cyberattaques, ce qui est visé, ce sont les données. Tout le dit de nos jours, la donnée est le nouvel or noir.
Mais comment pouvons-nous protéger les données maintenant qu’elles sont partout ? La plupart du temps, vos utilisateurs travaillent en dehors de votre réseau, vous n’avez même plus le contrôle total du périmètre. C’est pour cela aussi que la protection des données doit devenir l’élément central de votre stratégie de cybersécurité.
Posez les bases
Tout d’abord, vous devez connaitre tous vos actifs. Comme je l’ai mentionné par le passé à l’un de mes clients, il n’est pas nécessaire de protéger la liste de lecture d’un stagiaire avec une sécurité de haut niveau. C’est une perte de temps, d’argent, et cela devient même le pire des coûts cachés puisque cela va complexifier vos efforts lors de la récupération.
La première étape donc est de vous concentrer sur la classification de vos données et de vos systèmes. Vous devez être capable d’étiqueter ce qu’il faut protéger, le degré de criticité de ces données. Je vous recommande de rester simple, avec un maximum de 3 ou 4 niveaux de profondeur. Cette classification doit être facilement gérable pour l’ensemble de votre communauté d’utilisateurs. Après tout, ce sont eux qui vont l’utiliser.
Grâce à cette première étape, vous savez maintenant ce qui doit être protégé et par la même occasion, vous avez défini ce qui doit être restauré en priorité.
L’étape suivante consiste à cartographier les dépendances entre les systèmes nécessaires pour faire fonctionner et accéder à ces données. Il ne sert à rien d’avoir récupéré toutes ces données si personne dans l’entreprise ne peut y accéder. Cela ne serait pas judicieux d’un point de vue opérationnel. Vous devez donc toujours garder à l’esprit la raison en arrière de votre stratégie qui est de permettre à votre entreprise de fonctionner à nouveau.
Les concepts du Moyen Âge sont parfois les meilleurs
Connaissez-vous les concepts de stratification des défenses et d’enclave ? Je sais qu’ils datent un peu, mais ce sont des concepts toujours d’actualités, voyez pourquoi :
Si vous examinez un château du Moyen Âge, vous constaterez qu’il existe de multiples couches de défenses. Toutes ces couches visaient à décourager les ennemis d’attaquer en premier lieu. Il était fréquent de trouver des châteaux entourés d’eau, avec un pont rétractable et une porte solide. Ce n’était là que les premières couches de protection, il en existait plusieurs autres. Il était fréquent que les ennemis brûlent tout le village, et que les habitants survivent tout de même.
Si vous transposez ces concepts à ce qui nous occupe aujourd’hui, votre objectif de protection vise à ce que toutes vos données importantes (autre fois les villageois et la noblesse) soient sauvées. Vous ne voulez pas qu’elles tombent entre les mains de l’ennemi. Par conséquent, vous devez superposer des couches de défenses afin d’éviter que l’ennemie n’atteigne vos données.
Il faut que votre adversaire se rende compte que les efforts nécessaires pour vous percer seront trop importants. Si le bénéfice est moins important que les efforts requis, cela devrait le décourager.
Ce concept d’enclave associé aux concepts les plus récents en matière de cybersécurité porte cette base de protection à un tout autre niveau. Une fois que votre base est solide, vous pouvez définir des politiques qui chiffrent les données en fonction de leur type. Une fois que vous avez déployé ces règles de sécurité dans votre environnement, même si les données sortent, elles deviennent sans intérêt.
Les données qui ne sont valables qu’à l’intérieur de votre environnement sont un puissant allié, mais pas le seul. Beaucoup d’autres solutions sont à votre disposition une fois que votre base est solide.
Mais j’ai déjà tellement investi…
C’est un message que j’entends souvent et que je comprends. Mais, même si vous avez investi dans toutes ces technologies formidables, que vous avez créé des équipes pour assurer votre sécurité, la cybersécurité n’est pas un projet qui a un terme. C’est un projet infini qui évolue sans cesse. Vous devez y travailler tous les jours, car il faut savoir que de leur côté, les pirates ne prennent pas de jours de repos.
Prendre le temps d’analyser votre situation et mettre en pratique le concept d’enclave sont comme des couches supplémentaires que vous pouvez ajouter pour encore mieux protéger votre fort. Cela vous permettra de mieux cibler vos investissements et vos efforts. Ces informations vous permettent de faire une mise au point ; cela ne signifie pas que vous devez tout brûler et recommencer.
Créez un plan et améliorez-le
Contrairement à l’architecture des bâtiments, la technologie fait l’objet d’une approche itérative. Le plan idéal doit vivre au sein de votre organisation et ce sont vos propres équipes qui doivent le faire évoluer. Il doit suivre une approche axée sur les résultats plutôt qu’une approche figée.
Vous voulez une cybersécurité orientée “données” ? Voici les différentes étapes :
- Créer une initiative de classification des données et des systèmes,
- Recenser les différents éléments de votre architecture de cybersécurité actuelle,
- Créer un plan qui permettra d’adapter vos politiques d’entreprise à la classification des données,
- Connaitre les coûts récurrents de chacune des solutions mises en place,
- Évaluer chaque solution par rapport au modèle d’enclave. Cette solution rend-elle vos données plus difficiles à extraire ?
- Mettre en œuvre de nouveaux modèles de cybersécurité grâce auxquels les données peuvent se protéger elles-mêmes ;
- Vous assurer que votre communauté d’utilisateurs est sensibilisée et formée aux derniers modèles. Ce sont eux qui en assureront l’efficacité.
Conclusion
La technologie, bien qu’elle soit un outil fantastique, ne doit pas dicter ce qui doit être sécurisé. Elle doit seulement nous dire comment sécuriser ce qui est important. La première réflexion à avoir reste la suivante : que voulez-vous sécuriser ? Et je dois avouer que je ne crois pas que toutes les données aient la même valeur.
Soyez vigilant, à la qualité et à la criticité de vos données, lors de l’élaboration de votre stratégie, car cela peut avoir un impact important sur votre réussite.
Bonne semaine à vous !