La question « Sommes-nous sécurisés ? » génère de la peur et de l’inquiétude chez tous les RSSI, qui instinctivement répondront « Et bien, c’est une question difficile », explique Phil Richards, responsable de la Sécurité des Systèmes d’Information, Ivanti. Il explique ici comment répondre à votre supérieur s’il vous demande « Sommes-nous sécurisés ? » sans donner l’impression que vous n’avez jamais réfléchi au problème.
Si vous parlez à un pâtissier et que vous lui demandez « Le gâteau est-il terminé ? », la réponse est assez évidente : soit le gâteau est prêt à être livré, soit il ne l’est pas. Pour les développeurs de logiciels, la question est un peu plus complexe, parce qu’il faut définir ce qu’on entend par « terminé », mais il peut aussi exister une limite ou un niveau qui définit la notion de « terminé ».
Pour la sécurité, même si vous définissez ou mettez en place un seuil qui indique que tout est sécurisé, ce seuil reste mouvant. Les pirates trouvent toujours de nouvelles méthodes pour vous atteindre, et il faut réagir. Pour la plupart des responsables de la sécurité, la notion de « terminé » donne une fausse impression de sécurité, qui est dangereuse.
La plupart des dirigeants savent que la sécurité est un processus et qu’elle implique le respect d’une série de normes. Un grand nombre d’entre eux sait également que ces normes changent au fil du temps, et qu’il faut sans cesse s’adapter, résoudre les problèmes et réagir aux incidents. C’est pourquoi il convient généralement de donner une réponse plus complexe qu’un simple oui ou non.
Quand on me pose ce type de question, j’aime bien parler des améliorations au niveau des trois principaux aspects d’un programme de sécurité :
1. La gestion des risques
Répondre positivement à ces 3 questions est le signe d’un programme de gestion des risques bien contrôlé :
▪ L’entreprise a-t-elle correctement identifié les principaux risques de cybersécurité ?
▪ Gère-t-elle activement ces risques ?
▪ Existe-t-il un projet de limitation des risques, planifié et en cours, qui sera achevé dans les 6 à 18 mois pour améliorer globalement la gestion des risques ?
2. La gestion des incidents
Les principaux indicateurs d’un programme efficace de réponse aux incidents, permettant d’agir le moment venu, incluent les réponses aux questions :
▪ Disposons-nous d’une équipe de gestion des incidents impliquant tous les principaux services de l’entreprise ?
▪ Avons-nous un plan de réponse aux incidents, bien compris et qui fonctionne ?
▪ L’équipe de gestion des incidents applique-t-elle ce plan ?
▪ A-t-elle l’expérience nécessaire pour gérer les incidents de la vie réelle ? Peut-on lui faire confiance si/quand un incident majeur se produit ?
3. La gestion des vulnérabilités
Pour savoir si votre programme de gestion des vulnérabilités fonctionne, demandez-vous :
▪ Avons-nous un inventaire exact des logiciels et du matériel ?
▪ Exécutons-nous des analyses et évaluations des vulnérabilités sur l’ensemble de nos domaines de serveurs et de postes de travail ?
▪ Appliquons-nous activement des correctifs de sécurité aux serveurs et aux postes de travail ?
▪ Ajustons-nous activement les configurations pour tenir compte des variations ?
▪ Avons-nous défini des exigences de niveau de service pour traiter les défaillances de nos analyses de vulnérabilités ?
Le progrès, pas la perfection
Notez bien que ces programmes n’indiquent pas que l’entreprise est parfaite. Ils montrent que l’entreprise a entamé un parcours d’amélioration constante. Il y a et il y aura toujours des risques, mais ces mesures indiquent la direction prise par l’entreprise en matière de sécurité.
À la question « Sommes-nous sécurisés ? », ces mesures vous permettent aussi de répondre « Notre position est meilleure qu’elle ne l’était auparavant, et nous avons mis en place les bons processus pour continuer à progresser jour après jour ». Et je pense que c’est une réponse bien plus satisfaisante.
