Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment … rater sa stratégie cybersécurité ?

janvier 2018 par Didier Guyomarc’h, South EMEA Regional Director chez Zscaler

1) Tu mesureras l’efficacité de ta politique sécurité à l’aune de tes investissements
Ce n’est pas pour rien que l’on identifie les plus riches aux plus puissants. Dans l’entreprise, il en est de même : celui qui dispose du plus gros budget est aussi celui qui concentre le plus de pouvoir, c’est bien connu. Plus tes investissements en sécurité seront conséquents, plus la sécurité de ton organisation sera garantie, selon le principe, popularisé par le grand philosophe chinois Sàn-Ün-Tsoû :

« Dépense-toi pour dépenser, ça finira par payer ! » « Chez ces gens-là, Monsieur... On ne compte pas ! » Jacques Brêle, éleveur de RSSI au Grain (Granularité et Résilience Appliquées à l’Information Névralgique)

2) Tu n’élaboreras aucune cartographie des risques et des vulnérabilités
La cartographie des risques, c’est comme une maison hantée. Il ne vaut mieux pas s’y aventurer, sous peine de découvrir plusieurs fantômes au fond des placards à processus, quelques spectres dans l’atmosphère collaborative, divers esprits malveillants parmi les utilisateurs, certains revenants technologiques réincarnés, voire quantité d’ordinateurs zombies qui ne demandent qu’un peu de lumière pour agir à l’insu de ton plein gré.

« Il sera toujours temps de prendre du recul quand on sera le dos au mur » Louis Elavizion, Stratège très en vue très écouté

3) Tu ne feras pas de veille sur les menaces et leurs évolutions
A part pour les responsables sécurité qui croient encore à l’astrologie, il est bien difficile de prévoir l’évolution des risques, des menaces et des vulnérabilités. Tu refuseras donc d’accorder un quelconque crédit à toutes les prédictions qui fleurissent sur le Web. Ceux qui se laissent convaincre en ont toujours pour leurs frais, tant les hackers ont de l’imagination pour déjouer toutes les prévisions.

« Au jour d’aujourd’hui, celui qui fait de la veille pour le lendemain n’est pas né d’hier ! » Elisabeth Tésciée, Chercheuse de futurs horoscopes à Poitiers

4) Tu n’adapteras pas ta stratégie de cybersécurité à l’évolution des usages (mobilité, cloud, digital...)
Que se passe-t-il lorsque l’on mélange une pincée de mobilité, quelques traits de cloud, une bonne dose de digital et que l’on entremêle le tout avec des morceaux de technologies disruptives ? Un cocktail explosif pour la sécurité ! A coup sûr, ton job sera menacé à très court terme... Autant privilégier les bonnes vieilles recettes à base de maximum de contraintes pour les utilisateurs. Et qu’ils aillent jouer avec le cloud, la mobilité et le digital à leurs risques et périls !

« Rien n’a jamais empêché les RSSI sourds d’agir comme ils l’entendent » Ludwig Van Beethoven, Compositeur de la « sonate du RSSI qui va piano »

5) Tu empileras les solutions de sécurité (une pour chaque besoin)
Ce qui est pratique avec les fournisseurs de solutions de sécurité, c’est qu’ils te proposent en permanence une solution pour chaque risque, même pour ceux que tu n’as jamais vu. Avoue que tu es gâté, tu n’as que l’embarras du choix pour acheter ce qu’il te faut, quand il le faut.

« J’ai la solution qui vous convient ! » sera ton credo auprès de ton boss ou des métiers lorsqu’ils viendront te voir pour savoir comment gérer la dernière vulnérabilité à la mode...

« Du haut de cette pyramide d’appliances, quarante siècles de vulnérabilités nous contemplent » Napoléon Bonaparte, Retraité du RUSSI (Régime Universel de Sécurité des Systèmes d’Information)

6) Tu privilégieras une vision périmétrique de la sécurité au sein de ton datacenter
Les datacenters concentrent toute les données stratégiques, il n’est pas question que n’importe qui puisse y accéder. Et encore moins y rentrer ! Et encore moins y rester ! Finalement, les anciens avaient tout inventé avec leurs châteaux forts : des murs renforcés, des douves profondes, un seul point d’entrée, avec un pont-levis à côté duquel n’importe quel pare-feu fait figure de gadget, des meurtrières pour se défendre et des oubliettes pour faire passer l’envie à ceux qui s’y risquent de recommencer. Bref, le Graal pour un responsable sécurité !

« Avoir des fuites d’informations dans les couches basses de son datacenter dénote un gros besoin de sécurité » Peter Panperce, Ex-baby-sitter de la Fée Clochette

7) Tu feras l’impasse sur les risques qui ne concerneront jamais ton organisation
Il ne faudrait vraiment pas avoir de chance pour être victime de tous les malheurs, vulnérabilités et autres calamités numériques recensés à travers le monde. Tu intégreras scrupuleusement la règle des 80/20, selon laquelle 80 % des pertes sont générées par seulement 20 % des attaques. Avec de la veine, tu passeras au travers des attaques restantes. Mais vraiment avec de la chance... Si tu es joueur, tente d’appliquer la règle des 95/5. Et si tu es vraiment téméraire, applique celle des 99/1... Personne n’a encore essayé !

« Hey Joe, cours pas comme ça, y’a pas le pare-feu chez toi ! » John Hyaliday, Compositeur du tube « Quelque chose en nous de ton SI »

8) Tu ne prendras en compte que les menaces externes Le pire danger, ce sont évidemment les autres. L’univers numérique est peuplé de hackers habiles pour exploiter les failles technologiques, de criminels attirés par l’argent facile et de concurrents avides d’informations stratégiques... C’est avant tout sur ces menaces externes que tu centreras ta politique de sécurité. Quant à trouver, dans ton entreprise, des brebis galeuses ou des utilisateurs négligents, si la DRH a bien fait son boulot, elle n’en a recruté aucun !

« Ce n’est pas de mon ressort » Aladin Lopilo, Auteur du bestseller « Les Mille et Une nuits du RSSI insomniaque »

9) Tu refuseras catégoriquement de recourir à des solutions de sécurité en mode SaaS Sécuriser une organisation en confiant les clés à un tiers ? Autant te tirer une balle dans le pied ! Et bon courage pour convaincre ton boss qu’une telle approche est la panacée. Si, selon les études, l’insécurité constitue le premier frein à l’usage du cloud, ce n’est quand même pas par hasard ! Tu resteras persuadé que rien ne vaut une bonne vieille solution On Premise que tu peux contrôler...

« Qui peut le plus, peut le plus, c’est bien le moins et c’est déjà beaucoup pour avoir assez ! » Huîl Tà Chen, Grand penseur chinois (IVXIème siècle avant l’invention du cycle de vie des appliances de sécurité)

10) Tu laisseras les utilisateurs installer et gérer des solutions de sécurité sur leur poste de travail Qui mieux que les utilisateurs savent ce qui doit être protégé, quand et comment ? Personne, car ce sont les mieux placés pour définir leurs besoins de sécurité. Leur laisser l’autonomie reste la meilleure solution. En plus, ton budget sera sauvegardé...

« La guerre de Troie n’aura pas lieu suite à une attaque inopinée du serveur » Jean Giraudur, écrivain jamais en panne d’inspiration

11) Tu imposeras aux utilisateurs autant de profils et de règles de sécurité que d’applications Les données et les applications n’ayant pas le même niveau de criticité, il est logique que les règles et le niveau de sécurité soient adaptés. Tes utilisateurs t’en seront éternellement reconnaissants ! Sauf, bien sûr, ceux qui n’ont aucune mémoire pour retenir tous leurs mots de passe, aucune patience pour naviguer dans de multiples écrans d’authentification qui changent à chaque connexion, ou qui considèrent la fonction sécurité comme un boulet qui ne devrait pas exister...

« Qui ne tente rien n’a rien » Proverbe Quechua

12) Tu n’élaboreras pas de tableau de bord de pilotage Ceux qui se sont amusés à dénombrer les tableaux de bord laissés à l’abandon sont probablement devenus dépressifs devant tant de beaux graphiques mal entretenus, de tableaux délabrés et de courbes poussiéreuses. Pourquoi ajouter des couches de reporting et des tableaux de bord que personne ne lira ? Même pas toi, avoue-le...

« Le RSSI à temps partagé a tant partagé qu’il attend, partagé » Sœur Anne, Poétesse qui n’a toujours rien vu venir

13) Tu jugeras complètement inutile un reporting des menaces en temps réel A moins que tu ne sois un adepte addictif au Larousse Médical pour vérifier de quoi tu es atteint à chaque fois que tu observes un symptôme inhabituel, pourquoi faire de même en étant alerté en temps réel de toutes les attaques qui frappent ton organisation ? De toute façon, il sera toujours trop tard pour réagir... Quant à recevoir un SMS ou une alerte e-mail à chaque fois qu’un logiciel malveillant tente d’accéder au système d’information, en principe, personne ne le supporte plus de deux heures. « J’ai toujours l’alarme à l’œil » Al Katraz, RSSI émotif




Voir les articles précédents

    

Voir les articles suivants