Simplification de la gestion des risques

La plupart des services de sécurité informatique modernes utilisent la gestion des risques pour trouver un équilibre entre la réalisation des opportunités et la minimisation des pertes potentielles. La gestion des risques est plus qu’une simple technologie; c’est le processus d’identification, de quantification et de hiérarchisation des risques auxquels les organisations sont confrontées.

Un risque n’a pas besoin d’être un cauchemar ou une vitrine pour l’innovation — c’est quelque chose qui peut être géré.

Une formule courante pour le risque

Une formule courante utilisée pour décrire le risque est la suivante : Risque = Menace x Vulnérabilité x Conséquence. Cela ne doit pas être pris littéralement comme une formule mathématique, mais plutôt comme un modèle pour démontrer un concept.

Pour une formule mathématique complète, il devrait y avoir des unités de mesure neutres communes pour définir une menace, une vulnérabilité ou une conséquence. Malheureusement, cela n’existe pas aujourd’hui. Il existe certaines unités courantes, telles que les CVS pour décrire une vulnérabilité, pour certaines parties de la formule, mais celles-ci dépendent de l’environnement ou sont subjectives par rapport à celles qui utilisent la formule.

D’un autre côté, si vous êtes en mesure de supprimer une partie de la formule, telle que la partie menace ou vulnérabilité, puis de la remplacer par une valeur proche de zéro, la valeur du risque résultante est également réduite à presque rien.

Mesure de la probabilité du risque

La première partie de la formule du risque, Menace x Vulnérabilité, peut également être considérée comme une probabilité. Cette probabilité est une mesure approximative qui décrit les chances qu’une vulnérabilité donnée soit découverte et utilisée par un acteur de la menace.

Bien que vous puissiez limiter certains facteurs, l’acteur de la menace est, dans la plupart des cas, hors de votre contrôle. La notation de l’acteur de la menace dépend d’un certain nombre de valeurs, notamment:

  • Le niveau de compétence de l’attaquant;
  • Le motif de l’acteur;
  • L’opportunité — si l’attaquant possède les connaissances et l’accès requis; et
  • Les capacités de l’adversaire auquel vous faites face, y compris ses ressources financières.

Il existe différentes méthodes par lesquelles un attaquant peut découvrir une vulnérabilité, telles que la reconnaissance, l’analyse et la divulgation d’informations. La probabilité qu’une vulnérabilité soit découverte et exploitée est décrite comme suit :

  • La facilité de découverte — existe-t-il une bannière de service ou d’application indiquant que l’application est vulnérable ?
  • La facilité d’exploitation — peut-elle être réalisée avec des outils de script automatisés et faciles à utiliser ou nécessite-t-elle une série d’événements difficiles à réaliser?
  • Sensibilisation — est-ce une vulnérabilité connue?
  • Détection – est-il facile d’identifier les tentatives d’exploitation de la vulnérabilité et est-il probable que l’organisation prenne des contre-mesures pour bloquer ces tentatives ?

Lors de l’évaluation des vulnérabilités, vous ne devez pas vous limiter aux vulnérabilités du système. Assurez—vous de prendre en compte le facteur humain – l’exécution d’un environnement sans vulnérabilités du système mais avec une base d’utilisateurs pouvant exécuter des pièces jointes sans restriction devrait également compter comme une vulnérabilité.

Évaluation de l’impact d’une vulnérabilité

La dernière partie de la formule décrit les conséquences, ou l’impact, d’une attaque réussie par un acteur de la menace. Il est défini par deux facteurs principaux:

  • L’impact technique, décrit par la confidentialité, l’intégrité, la disponibilité et la responsabilité des données; et
  • L’impact commercial, décrit par l’analyse d’impact commercial, qui tient compte des dommages financiers, de la non-conformité résultant d’une violation et des implications juridiques ou de confidentialité.

La combinaison de la probabilité et de l’impact décrit la gravité du risque.

Vous pouvez limiter les conséquences et donc la gravité d’une intrusion en imposant des politiques, des processus et des procédures de sécurité. Cela n’empêchera pas une violation, mais cela peut grandement limiter l’impact de toute intrusion qui a lieu.

Préparer, Consigner, Surveiller, Détecter et Réagir

Maintenant que vous pouvez quantifier ce que vous affrontez, comment intégrez-vous les contre-mesures dans votre environnement de sécurité pour mieux gérer ces risques ? Vous pouvez suivre ces quatre étapes comme feuille de route de base:

  • Soyez prêt.
    • Assurez-vous que votre personnel est bien formé.
    • Effectuez des exercices réguliers.
    • Sensibilisez-vous pour augmenter le niveau de connaissances de votre personnel et de votre groupe.
    • Créer des frontières entre les secteurs d’activité importants.
  • Enregistrez et surveillez les événements importants de toutes vos ressources.
    • Sachez quels sont les actifs sur votre réseau.
    • Définissez les différentes sources de log.
    • Centralisez les journaux, en vous assurant qu’ils sont dans un format uniforme et fiable.
    • Corréler les événements.

  • Détecter les anomalies et les incidents de sécurité potentiels.
    • Différencier les comportements normaux et anormaux.
    • Appliquer des informations sur les menaces.
    • Travaillez avec votre équipe opérationnelle pour comprendre ce qui se passe.
  • Répondez à ces incidents.
    • Atténuer, éradiquer et récupérer des incidents.
    • Appliquez les leçons apprises pour améliorer votre posture de sécurité.

Gestion des menaces

Une partie de la formule est l’acteur de la menace. Nous avons déjà décrit que cette partie est hors de votre contrôle, mais vous devez toujours être conscient des types de menaces auxquelles vous êtes confronté. En utilisant différentes sources de renseignements sur les menaces, vous pouvez acquérir des connaissances sur les outils, les techniques et les méthodes utilisés par les acteurs des menaces. Vous pouvez également en apprendre davantage sur les menaces contre les acteurs de votre secteur et ajuster vos mécanismes de défense en conséquence.

Il existe de nombreuses bonnes sources de renseignements sur les menaces, mais ne comptez pas uniquement sur un seul fournisseur. Les données de renseignement sur les menaces sont plus précieuses lorsqu’elles sont enrichies par l’expérience partagée, les observations et les recherches d’une grande communauté.

Le partage est important, alors assurez-vous que votre personnel de sécurité s’implique dans différents groupes de partage et sait comment interagir avec leur équipe nationale de réponse aux incidents de sécurité informatique (CSIRT) et les chercheurs en sécurité.

Gestion des correctifs et des vulnérabilités

Si vous supprimez la vulnérabilité de l’équation, il devient plus difficile pour un attaquant de s’implanter dans votre organisation. Réduire les chances qu’une vulnérabilité passe inaperçue minimise le risque.

Comment y parvenez-vous ? Il existe différentes approches, mais cela consiste essentiellement à disposer d’informations à jour sur les actifs, à gérer les correctifs et les vulnérabilités, et à établir des politiques et des processus pour y faire face. Comprenez que ce n’est pas une opération ponctuelle mais quelque chose qui doit être intégré en tant que processus continu dans votre gestion informatique.

Plans de réponse aux incidents

Si, malgré toutes les mesures de protection nécessaires, les attaquants sont toujours en mesure d’accéder à votre environnement, vous devez démarrer votre plan de réponse aux incidents. Assurez-vous d’avoir configuré des capacités pour détecter l’intrusion et consigner les sources pour mener l’enquête. La détection consiste davantage à regarder des événements anormaux. Combinez les différents événements et traquez les anomalies avec des renseignements sur les humains et les menaces.

Votre plan de réponse aux incidents vous aidera à contenir l’incident, à éradiquer les actions de l’attaquant et à récupérer. Il est important de faire le point sur les leçons apprises après chaque incident pour limiter les risques de récidive.

Trouver un équilibre Avec la gestion des risques

Les termes menace, vulnérabilité et risque sont souvent mal compris. Bien qu’ils représentent tous des aspects très différents du risque, ils sont liés les uns aux autres de manière nuancée et aident les analystes de sécurité à trouver le bon équilibre entre saisir les opportunités et protéger les systèmes et les données critiques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.