Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quels sont les éléments prédominants dans un parcours de cyber-risque ?

février 2022 par Mandiant Threat Intelligence

Entre un flux constant de brèches et des événements mondiaux permanents, le paysage des menaces a évolué ces dernières années vers un territoire inconnu. Alors que les organisations continuent de s’adapter à un paysage changeant, les pirates informatiques s’adaptent également.

Les équipes de cybersécurité ont la tâche de soutenir l’entreprise dans ses opérations quotidiennes et de se préparer en permanence aux attaques dans leur environnement. L’équilibre entre la criticité des responsabilités opérationnelles et la préparation à la réponse est un compromis difficile, et même avec les meilleures équipes, les choses tournent parfois mal.

Alors que les équipes s’efforcent de maintenir un équilibre entre le maintien de leurs activités et des mesures de protection de l’entreprise, elles ont souvent du mal à suivre le rythme, et le désir de traiter toutes les choses de la même manière devient rapidement une bataille perdue d’avance. Dans son rapport sur les prédictions en matière de sécurité, 14 prédictions en matière de cybersécurité pour 2022, Mandiant évoque le fait que les hackers par ransomware augmentent à la fois le rythme et l’objectif en exerçant une pression supplémentaire par le biais de l’extorsion - la pression augmentant si des systèmes critiques sont en danger.

Tirant les leçons de l’impact de leurs pairs et des incidents médiatisés, les équipes de direction et les conseils d’administration prennent de meilleures mesures pour comprendre où se situent leurs plus grands risques et comment combler au mieux les failles de sécurité que les attaquants cherchent continuellement à exploiter. Certaines organisations ont compris qu’une approche de la sécurité basée sur les éléments les plus importants, les « Crown Jewells », permet de renforcer la posture globale en se concentrant sur la protection des actifs les plus critiques pour l’entreprise et probablement les plus attrayants pour les attaquants.

Cela signifie une meilleure gestion des risques, une meilleure prise de décision en matière de ressources et d’investissements autour des actifs de grande valeur, et une meilleure prévention contre les incidents qui pourraient faire le plus mal. Cependant, la sélection de ces actifs peut être un défi - après tout, chaque poste de travail, chaque serveur et chaque bit de données au sein d’une organisation ne sont-ils pas critiques ?

Conception d’un programme Crown Jewels

Lors de la conception d’une approche Crown Jewels, nous suggérons de commencer par quatre domaines clés. Ceux-ci doivent ensuite être utilisés pour approfondir la compréhension des détails concernant les forces et faiblesses potentielles des actifs critiques :

Identifiez
• Quels actifs soutiennent les principaux buts et objectifs de l’entreprise ?
• Quel type d’information ce bien/système stocke-t-il ?
• Les informations personnelles des employés ? Des données sur les clients ? Propriété intellectuelle ?

Menaces
• Quelles menaces externes et internes auraient le plus d’impact sur les Crown Jewels ?
• Qui serait le plus susceptible de cibler l’actif/le système ?
• Qu’est-ce qui motive un attaquant à cibler l’actif/le système ?

Vecteurs
• À quels vecteurs d’attaque sommes-nous intrinsèquement vulnérables ?
• Quel serait l’impact d’une compromission ?
• Ces impacts sont-ils financiers, opérationnels, de conformité ou de réputation ?

Contre-mesures
• Quelles contre-mesures de prévention, de détection et d’intervention avons-nous mises en place pour minimiser nos risques ?
• Ces contre-mesures sont-elles basées sur les tactiques, techniques et procédures des attaquants ?

L’approche des Crown Jewels offre aux organisations une perspective unique en dehors de la technologie, qui accroît la visibilité de l’entreprise, améliore l’engagement des dirigeants à protéger les actifs informationnels et aligne les priorités dans l’ensemble de l’organisation.

Lorsque les organisations prennent la décision consciente de développer ou de faire progresser leur programme de sécurité vers des pratiques plus précises et alignées sur les risques, nous recommandons le processus suivant :

Voici quelques éléments à prendre en compte lors du développement d’une approche Crown Jewels :

• Assurez-vous que le modèle Crown Jewels n’est pas simplement un plan de continuité des activités réadapté.
• Combinez les facteurs de gestion des risques standard tels que l’importance, la probabilité et l’impact avec des concepts fondés sur le renseignement tels que les acteurs et les motivations de la menace.
• Une utilisation élevée des applications ne signifie pas nécessairement une valeur élevée pour un attaquant.
• Veillez à ce que les menaces généralisées (telles que le phishing et les logiciels malveillants de base) ne dominent pas les modèles.
• Évitez que des processus ou des équipes soient considérés comme des Crown Jewels (comme les comptes fournisseurs et les VIP).
• Vérifiez si les actifs du portefeuille proposés sont uniquement axés sur un coût monétaire élevé.
• Ne craignez pas d’outrepasser votre modèle ! Si un élément vous semble plus important, n’ayez pas peur de le rendre plus important.

Appliquez les renseignements sur les menaces

Si les flux de menaces sont utiles pour les attaquants connus et leur infrastructure, l’application du renseignement sur les menaces implique une compréhension totale des pirates qui ciblent votre secteur et vos actifs. Il est nécessaire de comprendre les motivations et les comportements des attaquants - et d’établir un profil type de la menace en fonction de leurs tactiques, techniques et procédures (TTP) - pour commencer à établir efficacement le profil des biens essentiels d’une organisation.

L’intégration des renseignements sur les menaces dans une approche de type "Crown Jewels" signifie qu’il faut regarder un peu plus en profondeur et que les organisations doivent prendre en compte la valeur de leurs actifs par rapport à celle d’un attaquant. Les plans de gestion des risques, de continuité des activités et/ou de reprise après sinistre ne tiennent pas compte des raisons pour lesquelles un attaquant cible une organisation. L’adoption d’une approche "Crown Jewels" enrichie de renseignements sur les menaces permet aux dirigeants d’inclure les actifs essentiels dans la planification des risques, ainsi que de développer des protocoles de réponse plus alignés et mieux ciblés sur ce qui compte le plus.

Conclusion

Toutes les organisations ne sont pas taillées dans le même moule et les programmes de sécurité doivent être adaptés au modèle opérationnel et au profil de risque de chaque entreprise. Mandiant a travaillé avec de nombreuses entreprises en utilisant son approche mesurée pour définir les pertes acceptables et le risque résiduel, et pour déterminer comment les équipes peuvent atténuer efficacement les impacts sur la marque de l’entreprise grâce à des contre-mesures et des contrôles appropriés. Les résultats de ce type de diligence peuvent être un facteur de différenciation puissant au sein d’un programme de sécurité et peuvent faire la différence entre un incident mineur dans une organisation et une violation importante dans une autre.

La capacité de distinguer où les investissements en matière de contrôle doivent être réalisés, par rapport à une approche basée uniquement sur la conformité ou sur un cadre, permet de surmonter le problème des contrôles génériques appliqués sans discernement dans une organisation, ce qui peut conduire à des programmes trop complexes, difficiles à maintenir et à entretenir. Cette approche équilibrée est ce qui rend l’approche Crown Jewels de la sécurité si précieuse pour les entreprises de toutes formes et de toutes tailles.


Voir les articles précédents

    

Voir les articles suivants