Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FIC, Bruce Schneier : réponse à incident, le futur de la sécurité ?

janvier 2015 par Emmanuelle Lamandé

Si la nécessité de protection et de détection est désormais relativement bien actée dans les politiques de sécurité des entreprises, il n’en va pas encore de même pour la réponse à incident. Pourtant, au vu de la perte de contrôle de nos infrastructures et de nos données, et du nombre toujours croissant d’attaques, elle représente pour le cryptologue Bruce Schneier un facteur clé et le sera encore plus dans les années à venir. Il nous en dit plus à l’occasion du FIC.

La sécurité d’un système d’information repose sur une juste combinaison entre la protection, la détection et la réponse à incident (Incident Response - IR). Si la nécessité des deux premières est aujourd’hui plutôt bien établie dans les esprits, beaucoup reste encore à faire concernant le troisième axe. Pourtant, la réponse à incident est un facteur clé que toutes les équipes sécurité doivent, selon lui, intégrer à leur arsenal, surtout dans le contexte actuel. En effet, nous avons perdu le contrôle de nos infrastructures IT, en partie à cause de l’essor du Cloud Computing, mais aussi du stockage de nos données sur de plus en plus de devices différents. Les attaques, quant à elles, gagnent en sophistication, et font désormais aussi part intégrante des conflits géopolitiques. Sans compter que le nombre d’attaques, y compris ciblées, de typologies, d’attaquants... ne cesse d’augmenter. Le risque de se faire attaquer devient donc plus prégnant, d’autant que les entreprises continuent de sous-évaluer les investissements nécessaires pour renforcer la sécurité.

La sécurité repose également sur un savant mélange entre les technologies, les processus et les hommes. Même si la technologie assiste l’homme à bien des niveaux dans la protection de ses systèmes d’information et permet d’automatiser certaines tâches, seule elle ne suffit pas. La technologie doit être là pour aider les individus, pas pour les remplacer, notamment en matière de réponse à incident. On ne peut effectivement pas automatiser l’IR, chaque entreprise étant différente, chaque système de sécurité et chaque attaque aussi. Elle nécessite une réflexion propre, au cas par cas.

Pour Bruce Schneier, la résilience est la clé de la sécurité. L’objectif est donc de savoir comment on pallie, comment on survit, comment on continue… malgré un incident de sécurité quel qu’il soit. Pour accompagner les entreprises en ce sens, il leur recommande de s’appuyer sur la méthode « OODA loops », une approche utilisée à l’origine par l’US Air Force pour réagir en temps réel aux situations de combats. OODA signifie « Observe, Orient, Decide, Act », soit « Observer, Orienter, Décider, Agir ».

- Observer : il s’agit de connaître en temps réel ce qui se passe sur ses réseaux (détection des menaces via des IDS, surveillance et analyse de logs…). Plus une équipe IR peut observer ce qui se passe sur le réseau, plus elle pourra comprendre l’attaque facilement et rapidement ;
- Orienter : l’objectif est ici de comprendre comment l’attaque dont est victime l’entreprise s’inscrit dans le contexte, à la fois de la structure, de son actualité (stratégie, nouveauté, partenaire…), mais aussi du contexte global (économique, géopolitique, cybercriminel…), et ainsi de comprendre ce qu’il se passe et pourquoi ;
- Décider de quoi faire et à quel moment, en accord avec les personnes décisionnaires dans l’entreprise et les réglementations en place. Il est essentiel de décider le plus rapidement possible ;
- Agir, ce qui signifie être capable d’opérer des modifications rapidement et efficacement sur les réseaux. Pour ce faire, les équipes IR ont à la fois besoin d’un accès au réseau de l’organisation, et doivent s’entraîner le plus régulièrement possible.

La vitesse de détection, de réflexion, de compréhension, de décision et d’action est donc fondamentale si l’on veut que la sécurité soit efficiente. Attention toutefois, vitesse ne veut pas dire précipitation. Nous avons, de plus, besoin de replacer l’homme au cœur du dispositif. Les outils et les processus sont là pour accompagner les hommes dans leur démarche de sécurité, pas l’inverse. La clé de la réussite repose sur ce triptyque, et nécessitera également un investissement beaucoup plus massif de la part des entreprises si elles veulent espérer contrer la menace.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants