Au-delà de simplement essayer de trouver des responsables à ce piratage, nous préférons aller de l’avant et étudier les différentes manières de gérer les risques, mais également de nous interroger sur la façon de couper court au battage médiatique, aux bavardages et aux spéculations. L’idée qui a présidé à la rédaction de cet article est de réunir de véritables conseils que nous pouvons appliquer au quotidien, en fonction de ce que nous avons appris.

Sur la base de nombreuses conversations avec les responsables de la sécurité au cours des dernières semaines, voici ce que je pense être trois des leçons les plus pratiques.

Leçon 1 : Les professionnels de la sécurité font preuve de plus d’empathie et de soutien que nous ne le pensions. Utilisons cela !

Les professionnels de la sécurité, CISO ou autres, ont tendance à se soutenir mutuellement. Personne ne veut se retrouver dans la situation où se sont retrouvés les professionnels de FireEye, SolarWinds ou toute autre personne impliquée. Et à quelques exceptions près – l’exploitation marketing à peine déguisée est évidente ! - les avis des fournisseurs de solutions de sécurité et les personnes influentes ne se sont pas accumulés, exprimant plutôt leur solidarité et voulant voir comment nous, en tant que communauté, pouvons faire mieux grâce à ce que nous avons appris du chaos.

Ces dernières années ont été une période de division, partout dans le monde. Nous parlons d’unité, nous parlons de vouloir faire mieux en ce qui concerne la coopération entre les secteurs public et privé en matière de sécurité, nous parlons de partage des renseignements sur les menaces, nous parlons d’être de bons citoyens... nous parlons. S’il y a un point positif dans ce qui s’est passé avec SolarWinds, c’est peut-être que cela nous a inspiré à collaborer réellement sur les choses qui doivent être faites, et pas seulement à former plus de comités de partage d’informations sur les menaces ou à faire avancer un programme technologique. SolarWinds est un signal d’alarme qui nous montre que nous ne sommes pas encore "arrivés" au niveau des contrôles de sécurité, mais que nous avons les bonnes personnes qui s’engagent à obtenir les bons résultats.

Leçon 2 : Nous avons appris ce que nous entendons vraiment par "visibilité et contrôle"

Ces deux mots... on les aime, n’est-ce pas ? "Voir tout, agir immédiatement" ? Ça sonne bien en marketing, mais c’est trop souvent théorique, voire trompeur.

Nous devons comprendre parfaitement ce qui se passe dans nos réseaux, avec nos données, avec les personnes qui y accèdent, dans l’ensemble de notre environnement et de notre écosystème étendu. Jamil Farshchi, le RSSI d’Equifax, a récemment décrit la sécurité de la chaîne d’approvisionnement comme "reposant sur des questionnaires ponctuels, peu rassurants, et des visites sur site, ou le jargon juridique de la MSA". Comme il l’explique, "ça ne marche tout simplement pas". La sécurité de la chaîne d’approvisionnement est l’un parmi des centaines d’aspects de la visibilité et du contrôle total de votre écosystème, bien sûr, mais la logique décrite par Jamil s’applique dans de nombreux cas. Nous ne pouvons tout simplement pas comprendre ce qui se passe sans nous engager à avoir la visibilité la plus large et la plus profonde possible et la possibilité de traiter en temps réel les anomalies que nous constatons.

Leçon 3 : Nous n’arriverons pas là où nous devons être sans une gestion continue des risques

Alors que les entreprises continuent d’adopter l’informatique dématérialisée, les anciennes façons de concevoir la protection des données ne sont plus productives. Le DLP, comme beaucoup d’entre nous le pensent, est issu de l’ère de la sécurité pré-cloud et est toujours ancré dans l’idée que nos "biens" se trouvent dans un centre de données, protégé par un périmètre, et que nous pouvons empêcher les données de "sortir" de manière contrôlée, tout en empêchant les autres d’"entrer".

La protection des données à l’ère du cloud est en fin de compte une question de contexte ; nous autorisons ou désactivons l’accès à ces données sur la base d’une compréhension aussi approfondie et granulaire que possible de l’identité de l’utilisateur, de ce qu’il essaie de faire et des raisons pour lesquelles il essaie de le faire. Si nous pouvons permettre la définition de contrôles d’accès conditionnel en fonction du contexte des utilisateurs, des applications, des dispositifs et des données, nous créons une gestion continue des risques, et non pas une image incomplète ou dépassée de notre environnement.