La remise en question de la sécurité dont vous disposez est un exercice nécessaire. Quelle valeur vous apporte-t-elle ? Cette valeur prend d’autant plus de sens lorsqu’elle est mise en perspective avec son efficacité réelle. En tant que fournisseur de cyber sécurité, nous devons nous poser cette même question concernant la valeur apportée à nos clients.
La valeur en temps de paix a plusieurs facettes et peut fournir bien plus de données que nous ne pourrions en proposer dans ce blog. Nous avons donc ici pris le parti de rester à la surface des choses mais souvenez vous : le diable se cache dans les détails !
Au cours des prochains mois, vous en saurez davantage sur “Peacetime Value”.
Informations sur la sécurité et recherche sur les menaces (Si Vis Pacem, Para Bellum)
L’approche “Peacetime Value” aide les clients à mieux appréhender les enjeux de sécurité de leur domaine, à comprendre et gérer leurs risques et donc à améliorer de manière globale la posture de sécurité de leur entreprise.
En nous appuyant sur les données collectées par Countercept nous pouvons fournir une meilleure visibilité, par exemple, des risques associés à des erreurs de configuration des mécanismes de sécurité existants. Ces informations prennent encore plus de sens lorsqu’elles sont combinées à notre analyse sur les menaces (analyse réalisée de manière permanente et approfondie par nos équipes sur l’ensemble des cyber menaces).
Ensemble, ces deux éléments donnent à nos clients une visibilité contextualisée des risques liée au profil, aux localisations et au vertical de leur entreprise.
Un des bénéfices de cette analyse est que les équipes sécurité de nos clients peuvent plus facilement passer, même si c’est loin d’être évident, d’une approche réactive à une approche proactive. Le but ultime est de pouvoir, régulièrement passer de l’une à l’autre en toute décontraction.
Les athlètes parlent de “Plan-Practice-Prepare-Perform”. En cybersécurité il est important de pouvoir jouer ces 4 même termes et les 3 premières s’articulent bien mieux en temps de paix, comme un entrainement. On gardera la 4ième (“perform”, le moment où l’on doit être le plus efficace) pour l’incident vécu en live. Apprenons en, entrainons-nous au calme, au moment où l’on a la tête suffisamment froide pour se poser les questions qui nous feront avancer.
On n’apprend trop peu pendant l’incident, beaucoup après.
De même, vous ne devez pas attendre qu’un incident se produise avant d’identifier les potentiels points faibles. Chercher une fuite de gaz avec un briquet est certes efficace (oui vous la trouverez certainement) mais ce n’est certainement pas la meilleure approche (vous y laisserez à minima pas mal de poils et de cheveux). De nombreux conseils que les organisations reçoivent des MSSP existants sont basés sur les enseignements tirés des incidents de sécurité du client, après l’événement plutôt qu’avant, autrement dit : un post mortem, quand le mal est déjà fait.
Bien qu’il soit essentiel d’apprendre des événements lorsqu’ils se sont effectivement produits, cela ne devrait pas être la seule source d’informations. Faire le bilan ne doit pas être uniquement la dernière étape d’un processus qui a commencé avec une attaque, cela doit aussi être une activité récurrente.
Cette activité doit être alimentée par nos informations sur la sécurité : en utilisant toutes les données que nous collectons, nous pouvons identifier et quantifier les erreurs de configuration avant qu’elles ne conduisent à un incident. Les données que nous collectons dans le cadre de notre service ne montrent pas toujours que quelque chose de malveillant est en train de se produire, mais nous pouvons les utiliser pour repérer les risques potentiels.
Encore une fois, passons d’une posture à l’autre, du réactif au proactif et pour comprendre la posture de sécurité et le profil de risque de votre entreprise.
À quoi cela ressemble ?
Un exemple pourrait être les applications et outils d’accès à distance trouvé sur des postes de travail. Dans le passé, nous avons alerté nos clients sur une grande variété de ce type de logiciels installés par des utilisateurs sans autorisation. Ceci a souvent été fait avec les meilleures intentions ou comme solution de contournement (on parle de nouvelles habitudes liées au Covid ?).
Un autre exemple pourrait être une prévalence de droit administrateur local sur les postes utilisateur. Ensuite, il faut vérifier que les outils de sécurité sont à jour et rechercher des systèmes d’exploitation obsolètes ou d’autres logiciels. L’alerte et l’évaluation du risques au bon moment peuvent valoir son pesant d’or au regard des récentes crises cyber de grande envergure.
Traduire cela en termes stratégiques.
Extraire de ce travail une matière exploitable par des équipes techniques est simple et naturel. Porter ces même informations à des décideurs est un peu plus exigeant. La matière, initialement technique, doit aider la prise de décision, fournir des éléments sur la manière dont la posture de sécurité peut affecter la chaîne de valeur de l’organisation, etc… Le but est donc ici de gérer le lien direct entre le risque cyber avéré et le métier.
Les équipes techniques ne pourront expliquer le bénéfice d’une amélioration de la posture de sécurité (maintenir un existant, investir dans de nouvelles contre-mesures) que s’ils peuvent établir ce lien direct entre la donnée technique et la donnée de gouvernance de l’organisation.
On ne parle plus ici que de simple retour sur investissement ou de projections de budgets. On parle ici de mesurer l’impact direct du risque sur le business de l’entreprise, de mettre en perspective le coût de la contre mesure. Et encore plus quand ce dernier est dérisoire, de mettre en valeur (je choisis mes mots) le bénéfice de la mesure dans le modèle économique. On réduira ainsi des coûts directs ou indirects d’assurance, des provisions sur risque etc. Ce travail de «traduction» peut prendre beaucoup de temps.
Ce qui est intéressant ici est de permettre d’insuffler une dynamique, dont nous avons parlé, de proactivité. Si l’organisation entière se prépare mieux en utilisant finalement des données déjà disponibles, elle réduit son risque, elle réduit le volet financier de ce dernier et peut aborder des décisions commerciales, technologiques et sécuritaires plus sereinement. Dans un contexte de transformation globale des organisations, c’est un atout précieux.
Évaluer et piloter les risques de votre organisation
L’objectif de “PeaceTime Value” est de permettre à nos clients d’avoir à disposition, en un coup d’œil comme en un clic, une vue précise sur les risques auxquels leur entreprise est exposée et dans quelle mesure leur posture de sécurité s’adapte à la menace et à son évolution dans le temps.
Etre proactif, mesurer les impacts pour l’entreprise, s’améliorer continuellement, et au final décider mieux et de manière plus éclairée, c’est ce que nos clients ont mis en place grace à “Peace Time Value” et à l’utilisation des données que fournit F-Secure.
Contactez-nous à cette adresse mdr@f-secure.com pour discuter de ce que vous attendez d’un service de Managed Detection & Response (MDR) lorsqu’il ne défend pas votre organisation contre une attaque.
Catégories