Trois étapes critiques à ne pas manquer lors de l’évaluation des risques de sécurité dans votre organisation
Pourquoi le risque est-il un concept si important dans la sécurité de l’information ? Le risque représente un langage commun qui permet aux équipes de sécurité de l’information de communiquer avec des partenaires extérieurs à leur service, tels que les équipes d’ingénierie et commerciales. La gestion des risques oriente les décisions coût/bénéfice entre les besoins en termes de sécurité, d’ingénierie et de commerce. Sans une capacité mature de gestion des risques de sécurité, toute équipe de sécurité de l’information aura du mal à réussir, même si elle dispose de solides compétences dans d’autres domaines.
L’une des conditions requises pour mettre en place une capacité mature de gestion des risques de sécurité est l’aptitude à évaluer les risques. Malheureusement, c’est une aptitude difficile à acquérir. Il existe de nombreux points de vue sur les méthodes à adopter, mais aucune d’entre elles n’est largement acceptée et il n’existe pas d’orientation globale. La norme du NIST (Institut national américain des normes et de la technologie) SP 800-55 Rev. 1, « Guide d’évaluation des performances en matière de sécurité de l’information » fournit un point de départ, mais elle se concentre davantage sur l’évaluation des performances que sur les risques.
Je ne prétends pas non plus avoir une solution ou un processus global. Cependant, mon expérience m’a appris trois étapes critiques qui peuvent représenter un retour sur investissement élevé pour améliorer votre capacité d’évaluation des risques.
Étape 1 : adaptez les scores de gravité des vulnérabilités à votre organisation
« Ce n’est pas un risque calculé si vous ne l’avez pas calculé », Naved Abdali, INVESTING — Hopes, Hypes, & Heartbreaks
Les équipes de sécurité peuvent se concentrer uniquement sur l’utilisation de scores de gravité de vulnérabilité tiers et statiques, et renoncer à prendre en compte l’impact de la vulnérabilité dans leur propre environnement. C’est compréhensible, car elles ont souvent de nombreuses vulnérabilités et il est plus facile d’utiliser des scores existants. Cependant, si les équipes n’utilisent que des scores de gravité de vulnérabilité tiers, elles peuvent finir par hiérarchiser de manière inappropriée les opérations de sécurité et faire courir des risques à leur organisation.
Par exemple, la plupart des équipes de sécurité utilisent des enregistrementsCVE (vulnérabilités et expositions courantes) comme source de vulnérabilités connues publiquement. Ces CVE ont des scores de gravité de vulnérabilité générés par leCVSS (système commun de notation des vulnérabilités). Les scores CVSS pour les CVE sont souvent accompagnés d’indices de gravité fournis par des éditeurs de logiciels ou des experts techniques en fonction de la nature générale de la vulnérabilité. Certaines équipes de sécurité n’utiliseront ce score que pour hiérarchiser leurs vulnérabilités, mais cette approche omet la nature évolutive de la gravité des vulnérabilités et l’impact spécifique à l’environnement de l’organisation.
Bien que certains utilisateurs du CVSS ne prennent en compte que les métriques de base pour les vulnérabilités de notation des risques, les métriques des trois groupes sont nécessaires pour fournir un score de risque plus complet pour votre organisation. Ces défis et composants de notation des risques sont analogues dans de nombreuses autres méthodologies au-delà du CVSS.
Recommandations
Chez Salesforce, l’équipe de sécurité de l’information a recours à plusieurs techniques pour passer de la simple application d’un score de gravité à une évaluation plus approfondie des risques, notamment :
- Intégrer des métriques temporelles dans la notation des risques de vulnérabilité via des plates-formes derenseignement sur les menaces et des outils de gestion des vulnérabilités
- Évaluer les caractéristiques environnementales des actifs vulnérables, telles que les exigences de disponibilité, le niveau de confidentialité des données et l’exposition aux clients
- Commencer simplement et ajuster de manière dynamique l’approche de notation des risques au fil du temps à mesure que davantage de données sur les facteurs de risque sont disponibles
Étape 2 : utilisez des indicateurs de risque clés pour surveiller vos risques
« La mesure de ce que nous sommes est ce que nous faisons avec ce que nous avons. » Vince Lombardi, The Lombardi Rules
Les indicateurs de risque clés (KRI) peuvent être définis comme des évaluations des risques avec des cibles ou des seuils définis par l’organisation. Les dirigeants définissent souvent les cibles et les seuils afin de représenter le niveau auquel un risque devient inacceptable. Les KRI sont couramment utilisés des plus hauts niveaux de la direction aux responsables de la sécurité de gestion des risques, afin de surveiller de manière proactive les risques.
Très bien jusqu’ici, mais comment créez-vous un indicateur de risque clé ?
Premièrement, l’évaluation doit être liée au risque. Les évaluations des risques identifient les causes potentielles qui augmenteraient la probabilité ou l’impact d’un événement de sécurité défavorable. Par exemple, la probabilité de risque peut augmenter si les chercheurs découvrent une nouvelle vulnérabilité à haut risque concernant les logiciels du système. L’impact des risques peut augmenter si un système commence à stocker des données plus sensibles.
Deuxièmement, l’évaluation doit avoir un seuil associé. Les organisations définissent généralement un seuil d’indicateur de risque reposant sur l’appétit et la tolérance au risque. L’appétit au risque, comme défini par le FAIR Institute est un « niveau cible d’exposition aux pertes que l’organisation considère comme acceptable, compte tenu des objectifs et des ressources de l’entreprise ». La tolérance au risque est « le degré d’écart par rapport à la propension au risque que cette organisation est prête à tolérer ». Par exemple, une organisation peut déterminer qu’elle ne peut tolérer aucune vulnérabilité de gravité « critique » dans ses environnements à haut risque. Par conséquent, le seuil du KRI pour le « Nombre de vulnérabilités "critiques" dans les environnements à haut risque » est de 0.
Troisièmement, qu’est-ce qui fait qu’un indicateur est « clé » ? Une équipe peut produire de nombreux indicateurs de risque, mais les indicateurs de risque « clés » sont un sous-ensemble d’indicateurs de risque choisis en fonction de leur importance pour les dirigeants de l’organisation. Par exemple, certains KRI peuvent être liés à l’ingénierie et à l’informatique et d’autres peuvent être liés au produit et à l’entreprise. Les KRI sont généralement partagés et surveillés au-delà de la seule équipe de sécurité de l’information.
Recommandations
Il existe de nombreuses approches pour développer des indicateurs de risque clés. Voici quelques méthodes utilisées par Salesforce :
- Harmoniser les indicateurs de risque avec les infrastructures de l’organisation, par exemple, les contrôles de sécurité, la maturité de la sécurité, les principaux risques ou menaces utilisés dans les présentations à la direction de l’organisation
- Commencer par piloter un petit nombre de KRI et les développer en fonction des commentaires et de l’intérêt du public
- Impliquer plusieurs parties prenantes dans le développement des indicateurs de risque clés, dont des représentants du public cible, des experts techniques du sujet et des parties prenantes parmi les ingénieurs et les commerciaux
Étape 3 : tenez compte des « inconnues connues »
« L’incident de sécurité qui vous fait le plus mal est celui que vous ne voyez pas venir », proverbe adapté d’un vieux dicton de boxe
La troisième étape, « tenez compte des "inconnues connues" », est la plus simple des trois étapes et peut être la plus importante pour certaines organisations. La plupart des organisations ont des inconnues connues dans leur environnement. Il s’agit notamment d’applications héritées qui n’ont pas fait l’objet d’une revue de sécurité depuis plusieurs années, d’une dette de sécurité devenue plus risquée en raison de l’évolution des menaces, de projets particuliers avec des actifs en dehors de l’étendue normale de l’évaluation de la sécurité ou de code que l’équipe de sécurité n’a pas le temps de vérifier.
Ces inconnues connues peuvent passer inaperçues pendant des années et être acceptées implicitement dans une organisation. Malheureusement, elles peuvent également présenter les risques les plus élevés. Pour vous diriger dans la bonne direction, le meilleur moyen est de vous assurer que vos inconnues sont au moins connues et ne fassent plus partie des faits acceptés implicitement.
Recommandations
Salesforce a recours à plusieurs approches différentes pour gérer les inconnues connues. En voici quelques-unes qui peuvent être utiles à d’autres organisations :
- Envisagez de créer un ou plusieurs projets dédiés pour identifier les inconnues connues et vous assurer qu’elles font partie de l’étendue de l’évaluation de sécurité régulière
- Intégrez les inconnues connues dans votre cadre d’évaluation des risques et hiérarchisez les mesures correctives avec les « connues connues »
- Mettez à jour les politiques, les normes et les directives pour traiter les sources d’inconnues connues et les prévenir à l’avenir
L’évaluation du risque n’est pas toujours simple, mais la sécurité est un marathon, pas un sprint. Alors, quelle est la prochaine étape ? Consultez les recommandations pour chaque étape (ou créez les vôtres !) et identifiez ce que vous pouvez faire dès maintenant pour mieux évaluer les risques à l’avenir. Si vous trouvez quelque chose qui fonctionne, n’hésitez pas à le partager. Nous avons tous besoin d’aide dans ce marathon !