Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant j'aimerais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à mettre en évidence.
Les attestations ne mesurent pas toujours votre posture défensive
Une attestation, par définition, est une indication qui rend quelque chose évident. Dans le cas de la sécurité, en particulier des programmes de sécurité, cela signifie certifier de manière officielle.
Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant que je voudrais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à souligner. L'industrie s'appuie sur des attestations et des certifications pour évaluer vos défenses de sécurité. Les ingénieurs et les opérateurs vous diront que votre périmètre de sécurité réel et vos capacités d'évaluation des menaces définissent votre programme de sécurité. Je vous dirai que ce sont à la fois les attestations de conformité en tant que mesure et les capacités opérationnelles de votre équipe de sécurité qui définissent votre programme. Cependant, les attestations seules ne constituent pas un étalon précis pour mesurer un programme.
Les attestations sont une nécessité de l'industrie pour assurer la conformité aux lois fédérales, locales et d'État ainsi qu'aux meilleures pratiques du secteur. Les normes ISO, NIST ou DoD forment la base de la plupart des attestations. Le NIST, par exemple, publie un ensemble de normes et de guides techniques pour aider les organisations à construire des défenses périmétriques « acceptables » par le gouvernement. Comme je vais le souligner cependant, le fait que les normes soient établies ne signifie pas que la mise en œuvre soit toujours excellente.
Le déploiement d'un outil ne signifie pas qu'il fournit de la valeur
Évaluer l'Ensemble du Programme de Sécurité Cloud
Tout d'abord, vous devriez au minimum examiner les attestations et le rapport de findings, pas le résumé exécutif. Cela vous fournira un aperçu du programme examiné par un tiers. De plus, les programmes de sécurité complets devraient inclure des stratégies de protection des données robustes telles que les procédures de sauvegarde et de récupération de base de données pour assurer la continuité des activités et l'intégrité des données lors des incidents de sécurité. Deuxièmement, vous devriez absolument vérifier si l'entreprise passe par un programme de test de pénétration tiers ou de récompense pour les bogues. Personnellement, je ne suis pas fan des récompenses pour bogues, mais je suis fan des tests de pénétration par des tiers sur une base annuelle. Les tests de pénétration vous fournissent un test structuré de vos défenses et des retours réels sur les vulnérabilités. Enfin, passez en revue les documents de sécurité (généralement le sommaire) que l'entreprise utilise comme base pour la mise en œuvre. Cela inclut (mais n'est certainement pas limité à) une politique de sécurité, une réponse aux incidents et une gestion des vulnérabilités. Une équipe de sécurité expérimentée proposera de partager ces documents et artefacts dans le cadre des affaires courantes.
Je fais en sorte d'évaluer chaque fournisseur et partenaire du point de vue de l'accès aux données de l'entreprise. Cela signifie que si le partenaire ou le fournisseur gère les données de l'entreprise, il est soumis à plus de contrôle qu'un fournisseur qui ne le fait pas. Gardez à l'esprit l'objectif commercial lors de l'évaluation d'un programme de sécurité. J'examine l'objectif commercial et le type d'informations impliquées, puis j'évalue sous cet angle, plutôt que de traiter tous les partenaires et fournisseurs de la même manière. En cas de doute, demandez toujours plus d'informations.
