Une cybersécurité efficace traite les 5 fonctions fondamentales d'une façon holistique et qui évolue avec l'environnement des menaces.
« La transformation numérique n'est pas qu'une tendance technologique, elle est au centre des stratégies d'entreprise dans l'ensemble des secteurs d'activité et des marchés », a affirmé IDC.
Ce monde émergeant où toutes les personnes et toutes les choses sont connectées en tout temps et en tout lieu, connu également comme l'Internet of Everything (IoE), nécessite une approche holistique pour protéger les personnes, les choses et les processus et toutes les données qu'ils créent des dommages intentionnels et non intentionnels. Une approche holistique implique tous les aspects de la cybersécurité : pas seulement les personnes, les produits et les processus, mais également les cinq fonctions critiques nécessaires pour que la sécurité soit efficace de façon durable : Identification, Protection, Détection, Réponse et Reprise.
Les 5 fonctions de la cybersécurité
Développées par le National Institute of Standards and Technology (NIST) du ministère américain du commerce, les cinq fonctions, décomposées en 22 catégories et 98 sous-catégories, fournissent un cadre permettant de construire une approche efficace de la cybersécurité :
- Identification – Développer la compréhension institutionnelle permettant de gérer le risque de cybersécurité encouru par les systèmes, ressources, données et capacités institutionnels, c'est-à-dire la Gestion des ressources, l'Environnement économique, la Gouvernance, l'Évaluation des risques et la Stratégie de gestion des risques ;
- Protection – Développer et mettre en œuvre les protections appropriées permettant la fourniture des services d'infrastructure essentiels, c'est-à-dire limiter ou contenir l'impact d'un événement de cybersécurité potentiel ;
- Détection – Développer et mettre en œuvre les activités appropriées pour identifier l'occurrence d'un événement de cybersécurité ; c'est-à-dire permettre la découverte au moment opportun des événements de cybersécurité ;
- Réponse – Développer et mettre en œuvre les activités appropriées pour effectuer une action en réponse à un événement de cybersécurité détecté ; c'est-à-dire contenir l'impact d'un événement de cybersécurité potentiel ; et
- Reprise – Développer et mettre en œuvre les activités appropriées pour maintenir des plans de résilience et pour restaurer toute capacité ou service altérés en raison d'un événement de cybersécurité ; c'est-à-dire la reprise au moment opportun de l'exploitation normale pour réduire l'impact d'un événement de sécurité.
D'après Gartner, le cadre NIST est utilisé actuellement par 30 % des organisations américaines et devrait atteindre 50 % en 2020. Les raisons clés pour l'adoption du cadre sont : se conformer aux meilleures pratiques de la cybersécurité (70 %), exigences d'un partenaire commercial (29 %) et exigences d'un contrat gouvernemental (28 %).
L'adoption du cadre est ralentie par les coûts, d'après un rapport récent, qui l'a identifié comme étant une meilleure pratique du secteur d'activité mais dont la mise en œuvre complète implique un niveau d'investissement plus élevé. La plupart des organisations (70 %) voit le cadre du NIST comme une meilleure pratique de sécurité, mais 50 % voit le haut niveau d'investissement nécessaire comme un frein à son adoption. Bien que 84 % des organisations aient déjà mis en œuvre au moins un cadre de sécurité, 64 % utilisent une partie du cadre du NIST et non l'ensemble des contrôles recommandés en raison du coût et de l'absence de pression réglementaire, et 83 % de celles prévoyant l'adoption de ce cadre durant la prochaine année déclarent qu'elles suivront une démarche similaire en adoptant certain des contrôles du CSF (CyberSecurity Framework) mais non l'intégralité.
Une image beaucoup plus positive a été donnée par Intel, qui a été activement impliquée avec le NIST et le CSF dès le départ (février 2013) et qui était prête à jouer le rôle de pilote dès la publication (février 2014). Les enseignements clés incluent :
- le CSF facilite des discussions internes essentielles sur la conformité, la tolérance aux risques, la maturité des contrôles et d'autres éléments de la gestion des risques liés à la cybersécurité ; et
- le fait qu'il soit conforme aux pratiques du secteur d'activité le rend facile à déployer et à personnaliser pour correspondre à l'environnement de l'entreprise avec un impact étonnamment faible
La cybersécurité ne dort jamais
De nouvelles attaques et vulnérabilités surviennent quotidiennement et s'appuyer sur un rempart jamais pris en faute serait prendre ses désirs pour des réalités. Il suffit aux méchants d'effectuer la bonne action une seule fois pour gagner ; les gentils doivent l'effectuer à chaque fois pour simplement rester dans la partie.
Cela ne signifie pas que la situation est sans espoir. Une cybersécurité efficace est une réalité actuelle, à condition de se doter des mécanismes et des moyens appropriés. Une approche holistique combinant tout et tous, y compris des partenaires éprouvés, et qui s'adapte à un environnement des menaces en évolution, peut assurer votre sécurité et celle de votre organisation.
Dans la partie 2 sur 3 nous examineront de plus près l'environnement des menaces et de quelle manière les facteurs internes et externes peuvent impacter, par ne pas dire endommager, une organisation.