Cybersécurité : 10 actions pour obtenir de son comex les moyens d’agir

Les grandes entreprises ont désormais l’obligation de déclarer leurs incidents de cybersécurité. La création d’un Centre de détection (SOC) semble la réponse affichée par tous. Mais elle est vaine si certaines précautions indispensables ne sont pas prises.

Fort de mon expérience aux côtés des grandes entreprises françaises et internationales pour les accompagner dans le domaine de la cybersécurité, voici les éléments clés qu’il vous faut intégrer pour en faire un chantier réellement stratégique.

1.    Apprenons à nous concentrer sur les menaces les plus dangereuses. Il s’agit de celles qui peuvent conduire à l’écroulement de votre système d’information. Les autres ne sont bien sûr pas à négliger mais peuvent être traitées grâce à une sécurité périmétrique.

2.    Il n’y a pas d’alternative au Security Operation Center (SOC) car c’est aujourd’hui la seule organisation humaine et technique en mesure de défendre un système d’information.

3.    La sécurité numérique n’est pas un projet IT, c’est un chantier de transformation de la manière dont on gère la sécurité : en identifiant quels sont les données et les processus qu’il convient de protéger. 

4.    Commencer petit et ne pas rester seul. Il faut progressivement élargir le périmètre du Système d’information et des actifs numériques que l’on protège afin de disposer d’une sécurité homogène et robuste. Les outils seront ainsi adaptés à la montée en charge des équipements, du nombre d’utilisateurs et des volumes croissants de données. Il faut se choisir des alliés pour compter le moment venu sur leur expertise, leur soutien humain et leur aptitude à vous accompagner dans un environnement incertain qui peut rapidement s’étendre à l’échelle internationale.

5.    Ressources, Ressources, Ressources. Toutes les décisions en termes de choix ou de déploiements technologiques ou d’organisation doivent être prises en mesurant leur impact sur les organisations. En se rappelant qu’elles seront exigeantes en termes d’expertise humaine.

6.    Il est vital d’évoluer au même rythme que les attaquants. Un SOC statique est vite contourné : cela exige des investissements dans la formation des équipes, le renouvellement des technologies, la connaissance des pratiques en vigueur chez les cybercriminels.

7.    Un SOC qui ne dispose pas d’une expertise dans le domaine de l’analyse de la menace (threat intelligence) est une escroquerie. Rappelons aussi que pour recevoir des renseignements de la part de l’écosystème de sécurité, il est indispensable d’en récupérer par soi-même afin de disposer d’une monnaie d’échange.

8.    Le savoir-faire en matière de contextualisation et la capacité de réaction sont aussi importants que la détection des attaques. Cette approche nécessite d’opter pour une démarche d’orchestration.

9.    Établir un équilibre intelligent entre la compréhension du phénomène de la cybermenace et l’action qui sera entreprise. Ici le « O » de SOC est primordial : vous devez vous appuyer sur des professionnels qui sont de bons techniciens mais également des profils tournés vers les réalisations opérationnelles.

10. La disponibilité d’équipes travaillant en format 24/7 est nécessaire car les pirates n’ont pas le bon goût de respecter les horaires de bureau de leurs cibles. Et leurs campagnes d’attaques peuvent se prolonger et connaître des séquences d’intensité variable. Il faut pouvoir y faire face sur la durée.

Bien combinés, ces éléments constituent les composantes essentielles d’une politique de cybersécurité qui prend en considération le caractère évolutif, opportuniste et soudain des cybermenaces. Au-delà de la communauté des professionnels de la sécurité numérique, cette prise en compte de la protection des actifs essentiels constitue un pilier d’une transformation numérique réussie.