1. Que signifie la vérification systématique pour votre organisation?
Plutôt qu’une technologie distincte, cette notion correspond à tout un paradigme qui permet aux organisations de repenser et de renforcer leur programme de cybersécurité. En fait, il s’agit d’un concept très simple : la vérification systématique est un mode d’accès. Elle s’adapte donc au contexte unique de chaque organisation.
Réfléchissez aux façons dont vous interagissez avec l’infrastructure de votre propre entreprise. Tous les jours, vous vous rendez au bureau, vous vous connectez à votre réseau WiFi ou vous vous branchez à un port. Ou peut‑être décidez‑vous de travailler depuis votre domicile, au moyen d’une technologie d’accès à distance. Vous vous servez probablement d’un environnement de bureau virtuel, voire de plusieurs. L’ensemble de ces scénarios reflète les différentes manières par lesquelles votre entreprise vous donne accès à ses ressources La question est donc de savoir si des moyens de contrôle appropriés sont utilisés systématiquement pour sécuriser cet accès ininterrompu.
Pour bien comprendre les enjeux réels de la vérification systématique, une organisation doit examiner les façons dont elle authentifie les utilisateurs et identifie les biens et contrôle la posture des points de terminaison. Elle doit analyser les modes de vérification des flux de données dans ses réseaux, en particulier pour les zones où il y a le moins de mécanismes de contrôle, ainsi que les lieux de cette vérification (p. ex. à la périphérie, dans le centre de données, nulle part). Un autre aspect important consiste à déterminer si l’inspection des menaces qui pèsent sur les flux de données autorisés couvre tous les modes d’accès qui s’offrent à une personne pour une ressource donnée de l’entreprise.
Une fois ces capacités de base définies, les organisations peuvent éliminer tout ce qui complique inutilement les mécanismes de vérification systématique pour se concentrer sur les composantes névralgiques de l’analyse en matière de vérification systématique ainsi que sur les modèles conceptuels, les conceptions approfondies et leur mise en place.
Commencez à réfléchir à vos besoins opérationnels et à la valeur commerciale que vous voulez tirer de votre solution de vérification systématique. Penchez‑vous sur les exigences juridiques, réglementaires et relevant de la protection des données à caractère personnel auxquelles la conception doit apporter une solution. Faites l’inventaire de tous les types d’utilisateurs, consolidez les exigences les concernant et élaborez des modèles qui respectent les principes de la vérification systématique. Examinez les politiques et les normes à incorporer. À ce stade de la réflexion, travaillez sur l’allocation du budget, les besoins en matière de compétences et les paramètres opérationnels.
2. Comment convaincre les parties prenantes de l’intérêt économique de la vérification systématique?
Pour gagner les parties prenantes à la cause de la vérification systématique, mettez en évidence la possibilité de maximiser la valeur commerciale. N’oubliez pas qu’il s’agit d’un domaine en pleine évolution. Votre direction pourrait ne pas prendre conscience des atouts potentiels de la vérification systématique. Il peut être difficile d’obtenir le financement adéquat ou de surmonter la résistance, mais le choix de la bonne stratégie est un gage de succès.
Il est primordial que les parties prenantes comprennent la notion de vérification systématique, connaissent ses applications et, surtout, savent ce qu’elles peuvent en tirer. Il s’agit d’illustrer le caractère multidisciplinaire des contrôles de vérification systématique et de faire ressortir la nécessité d’intégrer la mise en réseau, la sécurité des réseaux et la gestion des accès. Pour obtenir des résultats optimaux, il convient aussi d’insister sur l’importance des évaluations continues de la posture et de la réponse automatisée dans le cadre d’un plan d’exécution continue.
Il peut s’avérer utile de passer en revue les menaces et les acteurs de menaces que l’organisation doit affronter pour mettre en relief les atouts d’une solution de vérification systématique. Il est important de démontrer avec clarté les indicateurs clés de performance et de risques de votre programme de cybersécurité. C’est en effet la bonne façon d’aborder les améliorations tangibles que la vérification systématique peut apporter. De plus, cette démonstration permet d’instaurer un climat de transparence et d’insister sur l’importance de l’amélioration en continu du programme de cybersécurité de l’organisation. En assurant la synergie entre l’approche de vérification systématique et d’autres programmes, par exemple au moyen de la flexibilité du lieu de travail ou de la gestion des menaces internes, vous pouvez plus facilement faire ressortir les avantages de la vérification systématique afin de convaincre les parties prenantes clés de se rallier à la cause.