Pour sécuriser un système d’information, il est primordial d’établir une stratégie de sécurité couvrant différents aspects, qu’ils soient techniques ou humains. Comment la penser, s’assurer de son efficacité ? Comment la travailler ? Jean-François, MVP et Directeur des opérations Grand Sud chez Blue Soft Empower, livre ses conseils pour établir une stratégie de sécurité efficace.
Quelles sont les points clés pour établir une bonne stratégie de sécurité ?
Jean-François Bérenguer. Aujourd’hui, la plupart des cyberattaques sont aléatoires. Les pirates informatiques attaquent les organisations une par une, en espérant parvenir à leurs fins. Si c’est trop compliqué de compromettre les identités, il·elle·s ont tendance à passer à la suivante, car ils cherchent à se faire de l’argent rapidement. C’est la raison pour laquelle la stratégie de sécurité doit être pensée pour compliquer et retarder au maximum la tâche des “hackers”.
Pour établir une bonne stratégie de sécurité, il y a quelques points clés. Le premier, c’est identifier les risques d’intrusion, d’affectation des identités, d’attaque des données, etc. Je rappelle que le risque, c’est la probabilité multipliée par l’impact. En sécurité, on essaie de réduire au maximum ces risques en réduisant l’un ou l’autre, voire les deux si c’est possible. Une fois les risques identifiés, on pourra mettre en place en face des mesures, et donc des tactiques permettant d’élaborer notre stratégie, pour se prémunir contre ces risques.
Le deuxième point, c’est s’assurer que la stratégie de sécurité soit acceptable pour les utilisateur·rice·s. En effet, il ne faut pas que cela les bloque dans leur travail au quotidien. Si c’est trop compliqué, il·elle·s trouveront des moyens de contourner la sécurité. Autre aspect humain, la stratégie de sécurité doit être acceptable pour l’équipe de sécurité opérationnelle. Elle doit être capable de traiter toutes les informations récupérées. Évidemment, on va les aider en mettant en place un SIEM, comme Azure Sentinel, ou une solution XDR par exemple. Ces outils vont permettre de centraliser toutes les informations pour que l’équipe de sécurité puisse facilement trouver la bonne information et être au courant. Cependant, il faut que quelqu’un gère ces solutions.
Le troisième point clé, c’est vérifier que la stratégie de sécurité soit cohérente sur l’ensemble du système d’information. Ce n’est pas la peine de mettre une porte blindée si la cloison est en placo. »
Des conseils pour adapter son architecture de sécurité à la stratégie de sécurité ?
JFB. On élabore une stratégie de sécurité en écrivant les règles à mettre en œuvre par rapport aux risques qui sont identifiés dans l’organisation. L’idéal est de rédiger une PSSI, mais cela peut représenter bien du travail car c’est une véritable bibliothèque documentaire. On peut tout simplement démarrer avec une feuille Excel, dans laquelle on va écrire toutes les règles de sécurité. Par exemple, on peut noter que tous les comptes à fort privilège doivent forcément être authentifiés via une authentification forte et uniquement depuis des postes connectés sur le réseau interne. Pour chaque règle, on donne l’impact, les contrôles à mettre en place, l’outil à déployer, etc. Il suffit de commencer déjà par les règles utilisées couramment, souvent orales. Cela peut aller vite.
C’est seulement après l’écriture des règles que l’on va pouvoir décider des solutions à déployer de manière efficace. Si on le fait avant, on risque de mettre en œuvre des fonctionnalités qui ne sont pas adaptées. Avoir les règles rédigées va permettre de connaître l’avancement de déploiement des solutions de sécurité par rapport à la stratégie de sécurité définie. C’est comme cela qu’on va adapter son architecture à la stratégie de sécurité.
Comment suivre le niveau de conformité d’un SI et l’application d’une stratégie de sécurité ?
JFB. La conformité d’un SI, c’est s’assurer de l’état de son SI au regard des bonnes pratiques, qui sont définies par des normes et standards publics ou bien par la structure elle-même. Elles rentrent dans les règles de sécurité que l’on souhaite appliquer. Pour savoir où l’on se situe, on peut s’appuyer sur des solutions qui vont mesurer la déviance par rapport aux règles de sécurité. De cette façon, il est facile de voir si l’on est conforme ou non.
Dans l’univers Microsoft, il existe plusieurs solutions qui peuvent aider l’équipe de sécurité opérationnelle dans cette tâche. Le portail de sécurité dans Office 365 et le Security Center dans Azure proposent des “Secure Scores”. Ils vont analyser les configurations faites et donner un positionnement par rapport aux bonnes pratiques de sécurité. L’idée, c’est d’essayer de faire monter la note. Le but n’est pas d’obtenir un 100%, mais d’être orienté sur les bonnes pratiques que l’on pourrait intégrer et de les mettre en place plus facilement. Il existe un autre moyen de savoir où on en est. On peut exporter un rapport qui indiquera, par exemple, que pour la norme 27001, le SI est conforme à 90%. Ce même rapport donnera la liste des tâches à faire pour aller chercher les 10% restants.