Quatre paramètres essentiels pour clarifier sa vision de la sécurité - Actualités RT Sécurité

Quatre paramètres essentiels pour clarifier sa vision de la sécurité

le 27/08/2015, par Fahmida Y. Rashid, Sécurité, 879 mots

La sécurité gagne en visibilité, ses responsables dans l'entreprise étant de plus en plus invités à fournir des indicateurs pour suivre son état réel.  Mais la direction reste encore éloignée de ces chiffres et se concentre trop sur la prévention et pas assez sur l'atténuation.

Quatre paramètres essentiels pour clarifier sa vision de la sécurité

Certains paramètres de sécurité sont plus utiles que d'autres. Par exemple, le coût moyen des réponses à un incident, ou le nombre d'attaques arrêtées par un pare-feu, semblent intéressantes pour un non spécialiste de la sécurité,  mais ne font guère avancer les pro-grammes de sécurité de l'entreprise. Les experts recommandent plutôt de mettre l'accent sur les mesures qui influencent le comportement ou la stratégie de changement. Nous avons sélectionné quatre paramètres.

1 / Les niveaux de participation au programme

Une métrique sur la participation au programme de sécurité permet de vérifier sa couverture au sein de l'entreprise. Elle peut mesurer le nombre d'entités effectuant régulièrement des tests de pénétration ou combien de terminaux sont actuellement mis à jour par des systèmes automatisés de mise en place de patch. Selon Caroline Wong, de Cigital, cette information de base aide les entreprises à évaluer les niveaux d'adoption et de contrôle de sécurité interne ou d'identifier les lacunes potentielles.

Par exemple, ce serait bien d'être capable de dire si une entreprise a 100 % de ses systèmes patchés, le mois où justement de nouvelles mises à jour sont disponibles. Mais un tel objectif n'est pas réaliste, car patcher peut introduire des risques opérationnels sur certains sys-tèmes. Regarder le niveau de  participation permet justement d'exclure des systèmes qui ne sont pas visés par les règles normales de mise en place des patchs et de mettre l'accent sur ceux qui doivent être patchés.

2 / La durée des attaques

Le temps de présence d'un attaquant dans le réseau, fournit également de précieuses in-formations sur la durée des attaques, permettant aux professionnels de la sécurité de se préparer à leur arrivée, d'appréhender leur contenu, la manière de contrôler les menaces et de minimiser les dommages. Des enquêtes ont montré que les attaquants passent plusieurs mois en moyenne à l'intérieur du réseau d'une entreprise avant d'être découverts. Ils occupent ce temps à connaître l'infrastructure, à réaliser des reconnaissances, à se déplacer autour du réseau et à voler des informations.

L'objectif devrait être de réduire autant que possible le temps de séjour, de sorte que l'atta-quant ait moins de chances de se déplacer dans le réseau interne et de supprimer des don-nées critiques. Connaître le temps de séjour permet aux équipes de sécurité de mieux ap-préhender comment gérer l'atténuation de la vulnérabilité et la réponse aux incidents.

3 / La densité de défauts dans le code

Une métrique sur le nombre de problèmes rencontrés, leur densité, dans les milliers ou mil-lions de lignes de code utilisées, aide les entreprises à évaluer les pratiques de sécurité en cours parmi leurs équipes de développement. Toutefois, le contexte est clé. Si une applica-tion est à un stade précoce de développement, cela signifie une forte densité de défauts. Tous les problèmes sont détectés et c'est bien ainsi. Autre cas de figure, si une application est en mode de maintenance, la densité de défauts devrait être inférieure et tendre à la baisse, l'application devenant plus sûr au fil du temps. Si ce n'est pas le cas, il y a un problème.

4 / La fenêtre d'exposition

Une entreprise peut identifier les défauts dans une application, mais jusqu'à ce stade, celle-ci reste vulnérable. Mesurer ce laps de temps, cette fenêtre d'exposition, le nombre de jours dans une année où une application reste vulnérable, est important. « Le but est d'avoir zéro jour dans une année où de graves défauts seront découverts », précise Caroline Wong.

Les paramètres en trompe l'oeil

Ne nous voilons pas la face, en dehors de ces quatre métriques, d'autres existent, mais peu-vent se révéler trompeuses. Les directions d'entreprise aiment à se concentrer sur la prévention des incidents de sécurité, c'est en partie la conséquence de la notion d'existant,  les entreprises veulent connaître toutes les attaques arrêtées dans leur périmètre. Elles se sentent à l'aise avec des métriques sur le nombre de tentatives d'intrusion qui ont été bloquées, mais ça n'aide pas beaucoup les équipes de sécurité.

Les temps de réponse, donc la rapidité avec laquelle le problème a été trouvé et atténué est une autre mesure qui se révèle tout sauf utile. Le temps de réponse ne tient pas compte du fait que les attaquants ont tendance à se déplacer à travers le réseau. Vous pouvez toujours identifier un problème, mais si personne ne sait déterminer ce que l'attaquant a pu faire, un autre système peut très bien avoir été compromis par ce même attaquant et passer inaperçu. Ne pas mettre l'accent sur la sécurité dans son ensemble laisse certains environnements très vulnérables.

Seulement 28 % des cadres dirigeants interrogés dans un récent sondage Raytheon / Web-sense ont estimé les mesures de sécurité utilisées dans leurs entreprises « complètement efficaces », contre 65% qui les jugent « assez efficaces ». Les professionnels de la sécurité doivent expliquer à leur direction la nécessité de se concentrer sur la manière dont les questions de sécurité peuvent aider à atteindre des objectifs bien définis. Sinon, leur attention est gâchée par des informations qui n'amènent pas de réduction des risques ou d'amélioration de la sécurité.

En illustration : La sécurité des entreprises repose sur des indicateurs, liés aux comportements interne et destinés aux directions.

iOS 9 contourné par des hackers passant par le MDM

Selon une étude signée CheckPoint, des hackers contournent les restrictions pour le déploiement d'applications d'entreprise introduites dans iOS 9. Ils peuvent abuser du protocole de gestion des périphériques...

le 01/04/2016, par Lucian Constantin / IDG News Service (adapté par Didier Barathon), 443 mots

IBM lance sa plate-forme analytique de sécurité, QRadar, complétée...

Le marché de la cybersécurité dans le monde devrait passer de 77 milliards de dollars en 2015 à 170 milliards de dollars d'ici 2020. Les différents fournisseurs devront se partager 100 milliards de dollars au...

le 10/12/2015, par par Chris Player, IDG NS, et Steve Morgan, CSO, 531 mots

Trop de terminaux embarqués n'ont pas de dispositifs de sécurité

Un grand test de sécurité mené par Eurecom et une Université allemande a permis de découvrir facilement des milliers de vulnérabilités sur des terminaux embarqués. Visiblement, les fabricants n'ont pas ou pas...

le 23/11/2015, par Lucian Constantin, IDG NS, 668 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »