EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.
Recherches récentes
Trending
Coécrit par Alvin Cheung, chef d’équipe senior, Cybersécurité d’EY
En se dotant d’une bonne compréhension de la notion de vérification systématique, les organisations peuvent améliorer leur cybersécurité dans un contexte de menaces en constante évolution.
En bref
- La vérification systématique est davantage qu’une technologie; c’est une manière de penser la cybersécurité.
- Cette approche holistique se présente différemment pour chaque organisation, selon la méthode d’authentification des utilisateurs ou d’identification des biens et d’autres facteurs clés.
- La prise en compte des exigences uniques de l’entreprise et des impératifs particuliers des services de première ligne facilite la mise au point de solutions de vérification systématique qui offrent une valeur d’affaires réelle.
L’importance de la vérification systématique est bien connue. Selon près de 96 % des décideurs en matière de sécurité, elle est une composante névralgique du succès de l’organisation. Le problème est que bon nombre d’organisations ne comprennent pas bien la portée véritable de cette notion, d’où un risque pour la sécurité, la rentabilité et la croissance à terme.
Ces cinq questions de fond peuvent aider les organisations à élargir leur vision et à mieux saisir ce que la vérification systématique peut leur apporter dans le contexte unique qui est le leur. Et c’est précisément ce qu’il leur faut pour réussir. Quelles sont donc les questions que vous ne vous êtes pas posées?
1. Que signifie la vérification systématique pour votre organisation?
Plutôt qu’une technologie distincte, cette notion correspond à tout un paradigme qui permet aux organisations de repenser et de renforcer leur programme de cybersécurité. En fait, il s’agit d’un concept très simple : la vérification systématique est un mode d’accès. Elle s’adapte donc au contexte unique de chaque organisation.
Réfléchissez aux façons dont vous interagissez avec l’infrastructure de votre propre entreprise. Tous les jours, vous vous rendez au bureau, vous vous connectez à votre réseau WiFi ou vous vous branchez à un port. Ou peut‑être décidez‑vous de travailler depuis votre domicile, au moyen d’une technologie d’accès à distance. Vous vous servez probablement d’un environnement de bureau virtuel, voire de plusieurs. L’ensemble de ces scénarios reflète les différentes manières par lesquelles votre entreprise vous donne accès à ses ressources La question est donc de savoir si des moyens de contrôle appropriés sont utilisés systématiquement pour sécuriser cet accès ininterrompu.
Pour bien comprendre les enjeux réels de la vérification systématique, une organisation doit examiner les façons dont elle authentifie les utilisateurs et identifie les biens et contrôle la posture des points de terminaison. Elle doit analyser les modes de vérification des flux de données dans ses réseaux, en particulier pour les zones où il y a le moins de mécanismes de contrôle, ainsi que les lieux de cette vérification (p. ex. à la périphérie, dans le centre de données, nulle part). Un autre aspect important consiste à déterminer si l’inspection des menaces qui pèsent sur les flux de données autorisés couvre tous les modes d’accès qui s’offrent à une personne pour une ressource donnée de l’entreprise.
Une fois ces capacités de base définies, les organisations peuvent éliminer tout ce qui complique inutilement les mécanismes de vérification systématique pour se concentrer sur les composantes névralgiques de l’analyse en matière de vérification systématique ainsi que sur les modèles conceptuels, les conceptions approfondies et leur mise en place.
Commencez à réfléchir à vos besoins opérationnels et à la valeur commerciale que vous voulez tirer de votre solution de vérification systématique. Penchez‑vous sur les exigences juridiques, réglementaires et relevant de la protection des données à caractère personnel auxquelles la conception doit apporter une solution. Faites l’inventaire de tous les types d’utilisateurs, consolidez les exigences les concernant et élaborez des modèles qui respectent les principes de la vérification systématique. Examinez les politiques et les normes à incorporer. À ce stade de la réflexion, travaillez sur l’allocation du budget, les besoins en matière de compétences et les paramètres opérationnels.
2. Comment convaincre les parties prenantes de l’intérêt économique de la vérification systématique?
Pour gagner les parties prenantes à la cause de la vérification systématique, mettez en évidence la possibilité de maximiser la valeur commerciale. N’oubliez pas qu’il s’agit d’un domaine en pleine évolution. Votre direction pourrait ne pas prendre conscience des atouts potentiels de la vérification systématique. Il peut être difficile d’obtenir le financement adéquat ou de surmonter la résistance, mais le choix de la bonne stratégie est un gage de succès.
Il est primordial que les parties prenantes comprennent la notion de vérification systématique, connaissent ses applications et, surtout, savent ce qu’elles peuvent en tirer. Il s’agit d’illustrer le caractère multidisciplinaire des contrôles de vérification systématique et de faire ressortir la nécessité d’intégrer la mise en réseau, la sécurité des réseaux et la gestion des accès. Pour obtenir des résultats optimaux, il convient aussi d’insister sur l’importance des évaluations continues de la posture et de la réponse automatisée dans le cadre d’un plan d’exécution continue.
Il peut s’avérer utile de passer en revue les menaces et les acteurs de menaces que l’organisation doit affronter pour mettre en relief les atouts d’une solution de vérification systématique. Il est important de démontrer avec clarté les indicateurs clés de performance et de risques de votre programme de cybersécurité. C’est en effet la bonne façon d’aborder les améliorations tangibles que la vérification systématique peut apporter. De plus, cette démonstration permet d’instaurer un climat de transparence et d’insister sur l’importance de l’amélioration en continu du programme de cybersécurité de l’organisation. En assurant la synergie entre l’approche de vérification systématique et d’autres programmes, par exemple au moyen de la flexibilité du lieu de travail ou de la gestion des menaces internes, vous pouvez plus facilement faire ressortir les avantages de la vérification systématique afin de convaincre les parties prenantes clés de se rallier à la cause.
3. En faites‑vous trop ou pas assez?
La portée claire et réaliste de votre programme de vérification systématique est un élément essentiel de la réussite globale de l’initiative. Le bon équilibre est possible : il suffit d’évaluer votre conception pour vous assurer qu’elle n’est ni trop ambitieuse ni trop complexe. Déterminez si les phases de la mise en place sont définies correctement et veillez à ce que les exigences et les échéances initiales soient réalistes.
Les acteurs internes et externes qui sont amenés à accéder aux ressources d’une entreprise sont généralement nombreux. D’une part, une infrastructure de vérification systématique peut très bien convenir à un acteur donné tout en étant inadéquate pour un autre. D’autre part, le développement d’un modèle distinct pour chaque type d’utilisateur présente peu d’avantages. Concentrez‑vous donc sur le recensement de cas d’usage clés en matière d’accès qui font intervenir divers types d’utilisateurs et d’acteurs regroupés selon les exigences auxquelles ils donnent lieu. Cet exercice dotera votre organisation de capacités optimales en matière de réduction du risque.
4. Notre connaissance de la topographie nous permet‑elle d’être efficaces?
Pour que la vérification systématique soit efficace, les organisations doivent connaître les topologies qui donnent accès à leurs ressources. Autrement dit, elles doivent avoir une idée claire des manières dont les différents acteurs accèdent à leurs ressources, du début à la fin. Réfléchissez aux diverses manières dont vous accédez à des ressources dans votre propre environnement et inventoriez les capacités, les contrôles et les configurations en matière de sécurité afin de vérifier leur conformité aux exigences de la vérification systématique. Ce processus exploratoire peut en lui seul faire la lumière sur un grand nombre de lacunes qui fissurent la topographie globale de l’organisation.
Une image vaut mille mots, y compris en réseautique. Tenez à jour une carte précise du réseau de l’ensemble de votre organisation et localisez avec précision les contrôles de sécurité appliqués. Un bon schéma ne laisse pas de place à l’ambiguïté et facilite le repérage des zones précises qui ne disposent pas de contrôles de vérification systématique.
5. Comment mettre en place la vérification systématique tout en observant les principes de la bonne conception?
L’adoption d’un modèle de vérification systématique qui répond aux besoins de votre organisation commence par la définition d’une architecture cible et son utilisation en vue de l’approbation et de la mise en place de solutions techniques. Cependant, ce processus ne se résume pas à la simple acquisition d’un outil dernier cri. En effet, il doit intégrer dans une mesure suffisante les principes de la conception centrée sur la personne.
En offrant des expériences utilisateur fluides, vous pouvez vous démarquer de la concurrence et mieux réussir l’adoption de contrôles de vérification systématique. Vous pouvez réussir cette adoption en concevant l’architecture de façon à éviter la création inutile d’obstacles à la sécurité, lesquels diminuent le rendement des investissements dans la sécurité et peuvent donner des maux de tête à l’utilisateur. Dans le cadre de ce processus, déterminez les manières de simplifier la conception même de votre architecture afin de réduire le plus possible les points qui présentent un potentiel de défaillance, de faciliter la gestion de vos opérations et de réduire les coûts. L’objectif ultime est de tirer parti de ce qui fonctionne bien et de mettre de côté le reste.
Résumé
Les organisations doivent comprendre que la conception d’une architecture de vérification systématique va au‑delà de la simple mise en place d’une micro‑segmentation. Elle requiert une vision holistique des droits d’accès. Elle présuppose la prise de conscience du fait que la posture ne se résume pas aux caractéristiques du point de terminaison. Elle repose sur une vision claire des modèles d’accès de l’organisation et sur une technologie choisie soigneusement pour soutenir leur mise en place. Tout programme de transformation de la cybersécurité qui vise la génération d’un environnement de vérification systématique doit s’appuyer sur la combinaison de ces principes.
Avant tout, il faut garder à l’esprit que les cadres de vérification systématique varient selon la stratégie commerciale, les investissements passés et futurs, les menaces, l’infrastructure technologique actuelle, la maturité et les relations d’une organisation.