Comment les équipes de sécurité ruinent leurs propres efforts

Toutes ces composantes liées à de la sécurité de l’information constituent un défi immense pour les équipes techniques. Mais il est tout aussi sûr, sinon d’avantage, que ces équipes et les entreprises concernées sont capable de se causer beaucoup de tort à elles-mêmes et à leur capacité à protéger leurs activités. Voici quelques thèmes parmi les plus récurrents rencontrés au cours de nos différentes interviews :
 
La mauvaise coordination avec la Direction et les équipes commerciales

L’un des premiers travers assez courant est le manque de coordination des équipes techniques avec les objectifs des autres services. Une manière de remédier à cela est d’adopter des procédures de gestion des risques qui tiennent compte des risques existants mais également permettent de hiérarchiser ces derniers compte tenu des spécificités du secteur concerné.

 
Selon l’enquête de Global State of Information Security Survey en 2016, 91% des entreprises affirment qu'elles ont mis en place des procédures de cybersécurité basées sur le risque. Il est cependant moins aisé de savoir jusqu’où elles vont réellement suivre cette voie, mais quoiqu’il en soit, les entreprises y voient d'énormes avantages. 49% d’entre elles affirment qu'elles peuvent ainsi mieux identifier et hiérarchiser les risques de sécurité, 47% sont en mesure d'identifier et de répondre aux incidents plus rapidement et 45% pensent que leurs données sensibles sont mieux protégées.
 
Bien entendu, suivre cette voie demande du temps et des efforts considérables pour la mise en place d’une meilleure collaboration et la compréhension des besoins spécifiques liés à l’activité de l'entreprise qui permettent une optimisation des processus de sécurité.

Arrêter de voir la technologie comme « la solution » à toutes les menaces

Les technologies de sécurité améliorent la capacité à détecter les attaques avancées, gérer les identités, réaliser des analyses poussées des rapports de sécurité et des événements système. Les cadres et les pratiques évoluent également. L'automatisation des tests de vulnérabilité de logiciels s’est aussi améliorée, ou a du moins dispose de la capacité d’améliorer la qualité et les capacités de défense des logiciels de sécurité. Mais honnêtement, la sécurité est bien plus que de simples indicateurs qui clignotent et des tableaux de bord.
 
La sécurité c’est avant tout connaître l'entreprise, la valeur de ses données et de ses systèmes, et de ses propriétés intellectuelles afin de coordonner les ressources de sécurité disponibles de la manière la plus efficace possible et pour réduire les risques les plus critiques. Cela nécessite non seulement la mise en place de contrôles de sécurité solides utilisant les technologies disponibles, mais également de comprendre les subtilités spécifiques à l'entreprise, les secteurs dans lesquels elle évolue et la tolérance aux risques de ses dirigeants. Cela nécessite aussi une capacité à communiquer sur les risques technologiques et les afférents aux dirigeants de l'entreprise pour que ces derniers les comprennent et envisagent les facteurs de risque pour l'entreprise. Ces compétences en communication et en perception des enjeux du business de l’entreprise sont essentielles pour les aider à comprendre les risques auxquels elles sont confrontées et leur permettre de définir les budgets appropriés pour permettre la réduction de ces facteurs. 
 

Ne pas sombrer dans un empire des réglementations

Trop souvent, les équipes de sécurité fonctionnent comme des entreprises de validation de la conformité : elles font en sorte d’être conformes aux politiques internes. Si elles  doivent suivre des réglementations, elles les appliquent – HIPAA, Sarbanes ou autres directives propres à leur secteur – pour obtenir leur budget de sécurité. La conséquence est que de nombreuses entreprises finissent par ne plus se concentrer que sur le maintien de leurs contrôles de conformité basiques : elles cochent les cases. Authentification : ok. Pare-feu : ok. Analyses de sécurité des applications Web: ok. Ces mesures n’arrêteront cependant pas  des cybercriminels les plus motivés.
 
Les équipes de sécurité copient le plus souvent les mesures des départements d'audit. Pour améliorer la sécurité, il faudrait que ce soit l’inverse : développer des contrôles de sécurité efficaces puis ajouter des rapports par-dessus ces programmes pour alimenter la surveillance réglementaire et la conformité aux politiques internes. Les audits devraient aider à surveiller et fournir des orientations sur les défaillances potentielles dans les politiques, alors que les équipes de sécurité devraient aider à optimiser les dépenses de sécurité pour améliorer la réduction des risques.
 
Laisser une marge de manœuvre aux RSSI

Bien que ce ne soit pas quelque chose que les équipes de sécurité contrôlent directement, elles doivent néanmoins faire du lobbying au sein même de leur entreprise : ne pas avoir à faire de rapports au DSI (pour la plupart des entreprises). Je précise « la plupart », car chaque entreprise est différente et qu’il n’existe pas de modèle universel convenant pour toutes les entreprises. Cependant, il existe potentiellement des conflits avec les DSI qui sont souvent à l’opposé d’une bonne sécurité de l'information. Ce n’est pas le cas de tous les DSI, bien sûr. Mais les RSSI mentionnent souvent ce conflit.
 
La sécurité de l'information n’est pas seulement un problème IT – elle est systémique à l'ensemble de l'entreprise. Chaque employé, prestataire et membre du Conseil d'Administration doit être impliqué. Bien que la qualité des logiciels et des services fassent partie de l'évaluation du travail des DSI, la sécurité de l'information n’en est qu’un sous-ensemble et n’a généralement pas beaucoup d’importance dans l'évaluation de leurs tâches. Pour cette raison, si des mesures adéquates et raisonnables de sécurité ralentissent un  projet IT, la tentation sera grande pour le DSI de passer outre ces étapes.
 
Une étude menée auprès de plus de 9 000 personnes travaillant dans l’IT et la sécurité a démontré que celles qui ont travaillé dans des entreprises où le RSSI devait faire des rapports au DSI constataient 14% de plus de périodes de maintenance dues à des incidents de sécurité. Les pertes financières résultant d'incidents étaient 46% plus élevées pour les entreprises où le RSSI rapportait au DSI, par rapport à celles où il rapportait directement au PDG. « En fait, quand le RSSI doit faire des rapports à presque toutes les personnes de la Direction autre que le DSI (Conseil d'Administration, DAF, etc.), les pertes financières dues aux cyber-incidents sont réduites, » a conclu Bob Bragdon dans son article « Maybe it really does matter who the CISO reports to ».
 
Comprendre les besoins des utilisateurs

Trop d’équipes de sécurité n’essayent même pas de comprendre le mode de fonctionnement de leurs collègues de l’IT ou du service commercial. Tout le monde s’efforce en général de faire son travail en déployant de nouvelles applications et technologies, ou en tentant d'améliorer celles qui existent déjà. C’est le rôle de la sécurité de bloquer si nécessaire ces changements qui modifient la  sécurité de l’entreprise, de communiquer sur les risques encourus  et de faire des rapports sur l'efficacité des contrôles permettant d’ atténuer les risques et les coûts associés. Ce qui se passe ensuite est généralement une décision commerciale.
 
Cependant, ce n'est pas la façon dont la plupart des équipes de sécurité fonctionnent. Elles sont trop souvent le service qui dit « non » : elles tentent de bloquer les nouvelles initiatives au lieu d'essayer de trouver des moyens pour y arriver tout en réduisant les risques et les coûts. C’est la meilleure façon d’être by-passé et ignoré par les personnes qui essaient de développer l’activité de l'entreprise. Au lieu de cela, essayez de comprendre les intentions des autres et aidez-les à atteindre leurs objectifs de la manière la plus abordable et la moins risquée possible.
 

Mesurer les actions et chercher à améliorer la qualité de service

Il faut essayer d’améliorer l’existant en permanence en veillant à prendre en compte les objectifs commerciaux de l’entreprise. Trop peu d'équipes de sécurité recherchent des moyens de mesurer les progrès accomplis et de s'améliorer. Puisqu’il n’existe pas de modèle de mesure universel pour la sécurité de l'information, les équipes peuvent prendre des mesures de performance standards pour commencer et ajouter des indicateurs au fil du temps. De nombreux indicateurs clés de performance peuvent être utilisés. Certains peuvent mesurer la rapidité avec laquelle l'équipe identifie et répond aux failles de sécurité, le temps qu'il faut pour corriger les vulnérabilités et appliquer des correctifs, le pourcentage du budget et le taux de violations de données rendues publiques par rapport au reste du secteur, etc.
 
Les temps sont durs, chaque entreprise est confrontée à des adversaires de plus en plus  intelligents et motivés, c’est pourquoi il est facile d’aller dans la mauvaise direction lorsque l’on définit un programme de sécurité de l'information. Un employé de confiance peut un jour ou l’autre se retourner contre l’entreprise pour un certain nombre de raisons, ou un employé honnête peut mettre en péril des informations de clients par inadvertance. Les pirates informatiques qui ciblent les entreprises n’auront pas tous les mêmes taux de réussite – donc il n'y a aucune raison que les équipes de sécurité ne fassent pas tout ce qu'elles peuvent pour ne pas leur faciliter le travail en se sabordant elles-mêmes.