Dans l'atmosphère actuelle d'incertitude économique, de nombreux CISOs doivent maintenir une sécurité renforcée avec encore moins de ressources. Lors de notre première session Secureframe Office Hours | Ask an Expert for CISOs, le CISO de Secureframe, Drew Daniels, a partagé ses 20+ années d'expérience en tant qu'expert en sécurité de l'information pour répondre aux questions sur le maintien d'une posture forte en matière de sécurité et de conformité en période d'incertitude économique.

Pendant la session de questions-réponses en direct de 30 minutes, Drew a répondu à des questions sur des sujets allant des meilleures pratiques pour les mesures de sauvegarde techniques et organisationnelles, aux façons d'impliquer les parties prenantes clés des équipes de direction dans les initiatives de sécurité, et comment les CISOs peuvent prioriser et apporter de la valeur à travers leurs organisations. Si vous l'avez manquée, nous récapitulons certaines de ses réponses ci-dessous.

1. Quelles sont certaines des activités manuelles et de faible valeur sur lesquelles les CISOs travaillent aujourd'hui et qui pourraient être automatisées afin de se concentrer davantage sur des priorités plus élevées ?

Drew : Il y a deux choses sur lesquelles les CISOs passent la majeure partie de leur temps et qui me viennent immédiatement à l'esprit.

Premièrement, il y a beaucoup de travail fastidieux et répétitif dans le domaine de la conformité qui est mûr pour l'automatisation. De nombreuses tâches de conformité sont des comparaisons simples d'une liste à une autre et comme elles doivent être effectuées de manière régulière et fréquente, c'est quelque chose sur lequel les CISOs doivent toujours travailler. Les équipes de conformité se retrouvent à travailler sur des choses qu'elles n'aiment pas et qui sont fastidieuses et répétitives. Ces choses peuvent et doivent être automatisées.

La deuxième chose est qu'aujourd'hui, les affaires évoluent très rapidement. Les technologies et les risques peuvent être introduits incroyablement vite. Par exemple, j'ai récemment lu une situation où quelqu'un a configuré une nouvelle ressource de calcul dans AWS et publié du code dessus pour faire quelques tests et a oublié qu'elle était là. En 15 minutes, ce service a été piraté parce qu'ils n'avaient pas fait la diligence de sécurité nécessaire. Il est très facile pour quelqu'un dans l'ingénierie de configurer une ressource dans le cloud — vous pouvez avoir un site web, un moteur de calcul ou un point de terminaison de système prêt en 5-6 minutes. C'est la deuxième raison pour laquelle l'automatisation est essentielle : vous ne pouvez pas opérer à la vitesse à laquelle ces ressources peuvent être détectées et attaquées. Vous devez avoir une automatisation capable de trouver et de rassembler ces différents signaux 24/7 afin que vous sachiez dès qu'il y a une menace.

2. Quelles sont les choses les plus précieuses que les CISOs peuvent faire et comment peuvent-ils mieux se concentrer sur ces objectifs de haute valeur ?

Drew : Les CISOs devraient se concentrer sur les risques opérationnels. Les évaluations des risques sont incroyablement importantes et indiquent non seulement où se trouvent vos menaces, mais aussi où se trouvent vos actifs.

Quelles données sont les plus importantes pour l'entreprise ? C'est une conversation importante à avoir avec votre équipe de direction. Ces données clients sont-elles importantes ? Si elles le sont, nous devons dépenser de l'argent et des ressources pour les sécuriser. Beaucoup de gens ne parviennent pas à présenter des données significatives aux équipes de direction et à expliquer pourquoi ces mesures de sécurité sont importantes.

3. Dans quelle mesure les mesures techniques et organisationnelles doivent-elles être étendues ?

Drew : Il y a plusieurs références aux mesures techniques et opérationnelles dans le RGPD et d'autres réglementations sur la confidentialité, ainsi que dans quelques autres cadres de sécurité. En général, vous devez effectuer une évaluation des risques où vous identifiez les menaces et les actifs. Les résultats de cette évaluation vous guideront sur les mesures de sauvegarde que vous renforcerez pour vous protéger contre les acteurs malveillants. Si une personne de la sécurité technique examinait vos mesures de sauvegarde, les considérerait-elle comme raisonnables ? Le SOC 2, l'ISO, même le NIST et le CMMC ainsi que le RGPD ne spécifient pas nécessairement à la lettre ce que les organisations doivent faire. Ils cherchent à ce que vous ayez un niveau raisonnable de sécurité qui soit également authentique pour votre entreprise.

Vous devez réellement examiner vos risques, menaces, actifs, qui y a accès et comment les données circulent dans l'organisation — les diagrammes de flux de données sont essentiels à cette étape — et être stratégique quant aux mesures que vous devriez mettre en place. Cela dit, la plupart des organisations doivent mettre en place quelques contrôles de sécurité indépendamment des menaces, comme les protections entrantes et l'automatisation de la conformité pour détecter, identifier et traiter ces menaces.

4. Quelles sont les meilleures pratiques pour rédiger et mettre en œuvre un plan et/ou une politique de réponse aux incidents?

Drew : Trop d'organisations créent un plan de réponse aux incidents puis le mettent de côté et ne le regardent plus jamais. Les politiques de réponse aux incidents devraient être des manuels régulièrement testés, idéalement deux fois par an, où vous mettez divers éléments de la politique de réponse aux incidents dans des scénarios de la vie réelle, comme un exercice de simulation. Le plan de réponse doit être succinct et direct, sans jargon inutile ou remplissage. Lorsqu'une crise survient, vous avez besoin que quelqu'un puisse le consulter et savoir exactement ce qu'il doit faire à ce moment-là pour trier l'événement, évaluer et minimiser tout risque, puis effectuer une analyse des causes profondes.

La pratique régulière du plan de réponse aux incidents permet non seulement de s'assurer que votre plan fonctionne comme il se doit, mais aussi de s'assurer qu'il est actuel et mis à jour. Vous pourriez avoir des coordonnées pour des personnes clés — quelqu'un dans les ventes qui aide à comprendre s'il y a des demandes clients liées à l'incident, quelqu'un dans le marketing qui gère les canaux sociaux, un chef d'équipe ou une personne de référence dirigeant la mise en œuvre de la politique depuis l'organisation du RSSI. Si vous ne pratiquez pas ce plan, vous ne remarquerez peut-être pas qu'une personne a été promue à un autre poste ou a quitté l'organisation, et si vous vous trouvez dans une situation d'incident réelle, des choses basiques comme ces coordonnées obsolètes peuvent vous mettre dans l'embarras.

La deuxième chose à faire est de trouver des champions et d'impliquer les équipes dans le processus de réponse aux incidents. L'ingénierie, les ventes, le marketing — ce sont vos meilleurs observateurs. Ce sont eux qui vont remarquer quelque chose et peuvent vous aider à stopper ces événements à un stade plus précoce.

5. Quelles sont les mesures de protection de base que le RSSI doit mettre en place autour d'une politique de sécurité de l'information?

Drew : D'après mon expérience, une politique de sécurité de l'information est un document interne destiné à aider à identifier et à isoler les exigences auxquelles vous souhaitez que les employés adhèrent. Donc, une politique de sécurité de l'information va inclure les meilleures pratiques acceptables. Elle va aussi se concentrer sur la manière dont l'organisation permettra aux employés de faire partie du programme de sécurité, et non du problème de sécurité.

Ne rédigez pas une politique de sécurité de l'information générique qui n'a pas beaucoup de sens pour vos employés. Obtenez les avis d'autres leaders sur les exigences et tenez-les responsables. Comme je l'ai mentionné plus tôt, n'importe qui peut mettre en place une nouvelle technologie étant donné le bon accès. Donc, à moins que la sécurité ne prenne la décision pour chacune de ces choses — ce que je ne recommanderais pas car cela va créer un goulot d'étranglement — vous devez être en mesure de démocratiser des aspects de la sécurité de l'information pour l'équipe de direction afin qu'ils sachent : ceci est un do, ceci est un don't, approuvez ceci, n'approuvez pas cela. C'est la clé.

6. Avec l'état actuel de l'économie, nous avons tous des budgets limités. Comment les RSSI peuvent-ils au mieux établir des priorités? Quels services de cybersécurité devraient-ils envisager d'externaliser?

Drew : Certains d'entre vous peuvent être confrontés à des situations où vous devez réduire les dépenses, et l'accent est mis sur l'efficacité de votre programme. Vous devez être en mesure de montrer d'où vous avez commencé et où vous en êtes maintenant en dépensant judicieusement les ressources et les fonds dont vous disposez. Comment l'investissement que vous avez réalisé bénéficie-t-il à l'organisation ? Vous devez être capable de présenter des indicateurs clés de performance (KPI) et des métriques qui prouvent ce fait. Si vous ne pouvez pas le faire, vous risquez de vous retrouver dans une situation où les autorités budgétaires diront que vous n'avez pas prouvé que vous avez besoin d'un budget aussi important. Souvent, la sécurité est mise en échec en utilisant trop de jargon technique et pas assez de langage courant pour que les gens comprennent ce qu'est ce programme et pourquoi il est important. 

Je crois que si vous faites de la gouvernance, du risque et de la conformité (GRC), vous devriez externaliser une partie de ce travail. Vous devriez avoir des freins et contrepoids en place pour vous assurer que vous obtenez toujours l'efficacité du programme que vous souhaitez, mais tout revient à ce que j'ai dit au tout début. En fin de compte, de nombreuses tâches de conformité sont répétitives et fastidieuses et se déroulent selon une cadence spécifique. Si vous n'automatisez pas, vous allez devoir consacrer des ressources à des tâches que je pense qu'aucune personne en conformité n'a jamais réellement plaisir à accomplir. Personnellement, je veux des personnes dans mon équipe qui veulent faire quelque chose d'innovant, se surpasser intellectuellement et acquérir plus de connaissances dans le domaine. 

Il est vraiment difficile de trouver de bons professionnels de la sécurité. Cherchez des personnes au sein de votre organisation que vous pouvez former et transformer en professionnels de la sécurité, car elles sont motivées et déjà engagées envers votre vision, mission et valeurs. Je fais souvent cela avec DevOps, où je leur fais prendre un rôle de SecOps hybride en leur montrant comment automatiser une partie de l'infrastructure de sécurité, puis en leur confiant sa gestion pour l'organisation. 

Les CISOs devraient investir dans des outils qui les aident à automatiser les processus manuels afin de pouvoir concentrer leur équipe et eux-mêmes sur des projets prioritaires pour l'entreprise. Offrez à votre équipe des opportunités d'apprendre et de progresser dans leur rôle en réalisant d'autres tâches que celles manuelles.

Donnez à votre équipe les moyens de réussir en leur offrant une main guidante sans qu'ils aient à venir vous voir pour tout. Par exemple, dans une organisation précédente, je voulais qu'ils bâtissent un processus de gestion des vulnérabilités totalement automatisé impliquant le déploiement de certaines ressources de numérisation. C'était quelque chose de totalement étranger à l'équipe, donc je les ai guidés sur la façon dont je l'avais fait dans le passé en utilisant Terraform et comment cela pouvait être fait assez simplement. Ils ont été capables de le concevoir et de le construire. 

Donnez à votre équipe des projets ambitieux où ils peuvent véritablement s'approprier le travail et progresser dans leur carrière tout en servant de coach et de mentor pour aider et fournir des conseils en cours de route. 

Restez à l'écoute pour les prochaines heures de bureau Secureframe | Demandez à un expert

Nous allons continuer à organiser régulièrement des heures de bureau Secureframe tout au long de l'année 2023. Restez à l'écoute pour les mises à jour ou consultez nos webinaires passés à la demande.