Jean-Francois Beauzel

Cyber sécurité, et si on arrêtait d’acheter et que l’on prenait le temps de configurer nos solutions

Firewall Next Gen, Sandbox, Anti Malware, NIDS, WAF, Honey pot, Privileged Access Management, SIEM, Proxy, Threat prevention, DLP… Toutes ces solutions, nous les voyons s’entasser au sein des SI, comme une course à l’armement où il faut pouvoir dire : « Moi aussi j’en ai un ». Mais si on mettait sur pause quelques instants, et que l’on prenait le temps de repenser la stratégie de sécurité, et l’usage que nous faisons de ces outils ?

Définir des objectifs clairs

Dans ma carrière, j’ai pu effectuer un certain nombre d’audits, avec quasiment toujours la même conclusion, une sous-utilisation des capacités techniques des équipements.
A cela, une raison majeure, l’absence de définition concrète de l’usage que l’on souhaite en faire. Posez-vous la question, un firewall « Next Gen » c’est super, mais que voulez-vous en faire, et cette vision est-elle partagée au sein de l’entreprise ? Avez-vous embarqué avec vous l’ensemble de la DSI, et les éventuels métiers qui pourraient en tirer avantage ?
Sans une définition claire des objectifs, et un engagement large, vous ne parviendrez pas à en tirer parti. Et cela vaut pour tous les équipements de sécurité : dès la conception du projet, il faut définir les fonctions que l’on va implémenter, et à quel rythme.

Exploiter correctement les solutions existantes...

Un autre point crucial à anticiper, c’est l’exploitation. Les boites magiques, n’en déplaise aux vendeurs de solutions, ça n’existe pas. Les nouvelles fonctionnalités et l’automatisation, y compris le « machine learning », cela nécessite des ressources humaines. Il faut maintenir en condition opérationnelle, mettre à jour, mais pas seulement.
Tous ces éléments produisent des logs, qu’il faudra intégrer, consolider et interpréter, de préférence dans un SIEM qui vous permettra de corréler les éléments collectés entre différents éléments de votre SI, mais également de les confronter à des bases d’IOC, publiques ou souscrites, et de les traités avec du « machine learning », qu’il vous faudra éduquer, pour identifier avec précision ce qui est « anormal ».

...optimiser et adapter...

Il sera également nécessaire d’affiner les configurations, de les affiner avec le temps pour réduire les faux positifs, mais également de vous protéger de nouvelles menaces. Les exemples les plus parlants sont ceux des WAF et des NIDS, car si ces équipements peuvent vous permettre de détecter et éventuellement de bloquer certains comportements, la configuration de ceux-ci doit suivre l’évolution de vos plateformes, réadapter les signatures et tester que les évolutions ne vont pas venir réduire les capacités de détection ou déclencher un tsunami de faux positifs.
Sans ces opérations d’analyses et de customisations, votre plateforme perdra rapidement en efficacité et finira par être perçue au mieux comme inutile, au pire comme une gêne.

...dès le début...

Et tout cela commence dès la phase d’intégration : avoir le bon accompagnement, qui vous aidera à appréhender la technologie, à mettre en place l’organisation connexe, et surtout à mettre en production la configuration initiale la plus adaptée à votre environnement.
De trop nombreux projets d’intégration se résument à mettre en place la plateforme avec une configuration de base, vous fournir une documentation plus ou moins complète, et c’est tout.

...en étant correctement accompagné

Et c’est là le second moment ou un projet de mise en place d’une solution technique peut tourner au fiasco, et manquer sa cible. Car oui, l’implémentation correcte de fonctionnalités avancées, cela prend du temps en termes d’analyses des environnements et d’implémentation.
Problème, ces phases pouvant être extrêmement chronophages et difficilement quantifiables, elles ne sont quasiment jamais proposées, ou sous forme d’option d’assistance technique, avec un pool de jours sans engagement de résultats, mais uniquement un engagement de moyen.
Souvent considérées comme excessives en termes de coût, on préfère donner ces actions aux équipes internes qui auront bénéficié de formations ou transferts de compétences, mais qui auront trop peu souvent l’expérience, et encore moins de temps à consacrer à ces sujets.

De l'intérêt de prévoir la bonne stratégie dès que possible

Au bout d’un certain temps, et pour pallier les problèmes que vous rencontrez, vous commanderez un audit qui pointera du doigt les optimisations et procédures qui sont absentes ou parcellaires.
De ce rapport d’audit sera tiré un plan d’action, qui sera ou non implémenté suivant le budget que l’on souhaite vous allouer, et même s’il arrive à terme, si vous n’avez pas les équipes et les processus adaptés, votre plateforme perdra de nouveau de l’efficacité jusqu’à devenir faillible et obsolète.

Avec la bonne politique, la bonne gestion des exceptions, le suivi des changements, et une bonne interaction entre les équipes de sécurité et les autres entités de l’entreprise, on arrive à obtenir de meilleurs résultats qu’en achetant une nouvelle solution, qui de toute façon ne sera pertinente que si le reste aura été correctement implémenté.

Articles associés

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

28 octobre 2022
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]
Partager cet article
Derniers articles

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]