La surveillance continue collecte les informations de sécurité et les compare à un référentiel afin d’en détecter les écarts en temps réel.
La surveillance continue est une tendance lourde qui s’inscrit dans une volonté de maîtrise du risque en temps réel. Elle s’appuie sur d’autres tendances importantes telles que les SIEM ou la gestion des journaux pour la collecte et l’analyse des données, et des tableaux de bord de sécurité pour leur visualisation.
Ce marché a un nom, et même son acronyme : c’est l’ISCM, pour « information security continuous monitoring ».
La difficulté inhérente à un projet ISCM est son intégration à l’existant. Il s’agira donc souvent avant tout d’un projet d’intégration.
Intégration et conseil
Mais pas seulement : si l’objectif est d’évaluer en temps réel la posture de sécurité de l’entreprise et l’évolution de son exposition au risque, cela implique d’avoir au préalable mené les analyses de risque qui s’imposent et d’avoir déterminé les points de contrôles pertinents qui permettront de détecter les écarts par rapport à la norme. Et nous sommes là totalement dans le domaine du conseil !
Un projet d’ISCM sera donc un subtil équilibre entre conseil et intégration et entre gestion du risque (organisationnel) et opérationnel (technique). Et il faudra en outre avoir déjà mené les actions élémentaires (gestion des correctifs, journalisation, analyses de vulnérabilités…) pour en tirer les bénéfices.
Un cadre pour les projets d’ISCM
Au Etats-Unis le National Institute of Standards and Technology (NIST) publiait dès 2011 un document précisant la mise en oeuvre de l’ISCM au sein des entités fédérales (publication 800 137). Bien que destiné au secteur public, le document a le mérite de poser les bases d’une réflexion en amont dans le cadre d’un projet d’ISCM.
Télécharger :
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-137.pdf
