Pourquoi les attestations ne sont qu'une partie de votre programme de sécurité dans le cloud

Steven Murray

5 juil. 2017

Email

1 min read

Pourquoi les attestations ne sont qu'une partie de votre programme de sécurité dans le cloud

Points Clés

    • Attestations alone don’t guarantee security. Elles confirment que certaines normes sont respectées, mais pas que les contrôles fonctionnent ou sont correctement surveillés.

    • Operational readiness matters more than certification. Une entreprise peut réussir un audit même si ses outils de sécurité, tels que les systèmes IDS/IPS, ne fonctionnent pas.

    • Auditors often verify existence, not performance. De nombreuses attestations évaluent si des systèmes existent, non pas s'ils sont correctement configurés ou maintenus activement.

    • A strong cloud security program blends compliance with continuous monitoring. Les attestations fournissent une base de conformité, mais des tests et évaluations continus assurent une véritable protection.

    • Third-party penetration tests reveal real vulnerabilities. Ils offrent des perspectives plus approfondies que les enquêtes ou listes de contrôle, validant que les mesures de sécurité fonctionnent dans des conditions réelles.

    • Vendor evaluations should consider data access and risk exposure. Les partenaires manipulant des informations sensibles méritent un examen plus rigoureux et un examen régulier.

    • Effective security requires transparency. Les organisations matures partagent volontiers leurs politiques, cadres de réponse aux incidents et procédures de gestion des vulnérabilités.

Points forts des Q&A

  • Pourquoi les attestations ne sont-elles pas une mesure fiable de la maturité en matière de sécurité ?

    Parce qu'elles ne prouvent que l'existence de contrôles requis, pas qu'ils fonctionnent. La véritable maturité en matière de sécurité implique une validation continue, une surveillance et une réactivité face aux menaces.

  • Quel est un échec courant en se reposant uniquement sur les vérifications de conformité ?

    Les organisations peuvent déployer des outils juste pour « cocher la case ». Par exemple, un IDS peut être installé mais pas réellement configuré pour détecter ou alerter sur les menaces.

  • Que devez-vous examiner au-delà des attestations lors de l'évaluation d'un fournisseur ?

    Examinez toujours le rapport complet des résultats (pas seulement le résumé), posez des questions sur les tests d'intrusion annuels, et demandez l'accès à la documentation de sécurité centrale.

  • Comment les tests tiers peuvent-ils améliorer un programme de sécurité ?

    Les tests de pénétration simulent des attaques réelles, révélant des faiblesses que les audits de conformité négligent, garantissant que les défenses fonctionnent comme prévu.

  • Qu'est-ce qui définit un programme de sécurité cloud mature ?

    Une approche équilibrée combinant les attestations, la surveillance continue, les stratégies de protection des données, la préparation à la réponse aux incidents et la gestion proactive des vulnérabilités.

  • Comment devriez-vous évaluer la posture de sécurité des fournisseurs ?

    Évaluez en fonction de la sensibilité des données auxquelles ils accèdent—les fournisseurs traitant des données client doivent respecter des normes de sécurité plus élevées et subir des examens réguliers.

Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant j'aimerais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à mettre en évidence.

Les attestations ne mesurent pas toujours votre posture défensive

Une attestation, par définition, est une indication qui rend quelque chose évident. Dans le cas de la sécurité, en particulier des programmes de sécurité, cela signifie certifier de manière officielle.

Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant que je voudrais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à souligner. L'industrie s'appuie sur des attestations et des certifications pour évaluer vos défenses de sécurité. Les ingénieurs et les opérateurs vous diront que votre périmètre de sécurité réel et vos capacités d'évaluation des menaces définissent votre programme de sécurité. Je vous dirai que ce sont à la fois les attestations de conformité en tant que mesure et les capacités opérationnelles de votre équipe de sécurité qui définissent votre programme. Cependant, les attestations seules ne constituent pas un étalon précis pour mesurer un programme.

Les attestations sont une nécessité de l'industrie pour assurer la conformité aux lois fédérales, locales et d'État ainsi qu'aux meilleures pratiques du secteur. Les normes ISO, NIST ou DoD forment la base de la plupart des attestations. Le NIST, par exemple, publie un ensemble de normes et de guides techniques pour aider les organisations à construire des défenses périmétriques « acceptables » par le gouvernement. Comme je vais le souligner cependant, le fait que les normes soient établies ne signifie pas que la mise en œuvre soit toujours excellente.

Le déploiement d'un outil ne signifie pas qu'il fournit de la valeur

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité simplement pour se conformer, mais n'ont en place aucune défense réelle.

Un exemple typique de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les scanners antivirus, la plupart des organisations investissent dans l'IDS/IPS comme une pratique standard de sécurité pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie regorge de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'en acheter.

J'ai récemment quitté une organisation qui avait "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs ont été informés que le système était un « fantastique outil », et même fournissement des exemples de trafic. En creusant plus profondément dans la télémétrie fournie par l'outil, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait à travers le capteur car il n'était pas configuré pour capturer ou alerter sur le trafic. De plus, les identifiants utilisés pour administrer l'outil avaient été créés par un employé précédent et n'ont jamais été mis à jour après son départ. Ainsi, l'outil restait essentiellement inactif pendant des mois sans intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations « opérationnelles » sur tous les systèmes - la norme consiste littéralement en une couche de question et réponse. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas sa viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour discerner un IDS/IPS fonctionnel d'un non fonctionnel. L'essentiel de l'audit repose sur l'entreprise pour montrer sa meilleure performance plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir un vaste éventail de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation à elle seule vous dira qu'une entreprise dispose d'un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de compléter un sondage fournisseur ne vous apportera pas plus de confiance. Les sondages ne font que présenter les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature ?

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité simplement pour se conformer, mais n'ont en place aucune défense réelle.

Un exemple typique de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les scanners antivirus, la plupart des organisations investissent dans l'IDS/IPS comme une pratique standard de sécurité pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie regorge de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'en acheter.

J'ai récemment quitté une organisation qui avait "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs ont été informés que le système était un « fantastique outil », et même fournissement des exemples de trafic. En creusant plus profondément dans la télémétrie fournie par l'outil, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait à travers le capteur car il n'était pas configuré pour capturer ou alerter sur le trafic. De plus, les identifiants utilisés pour administrer l'outil avaient été créés par un employé précédent et n'ont jamais été mis à jour après son départ. Ainsi, l'outil restait essentiellement inactif pendant des mois sans intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations « opérationnelles » sur tous les systèmes - la norme consiste littéralement en une couche de question et réponse. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas sa viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour discerner un IDS/IPS fonctionnel d'un non fonctionnel. L'essentiel de l'audit repose sur l'entreprise pour montrer sa meilleure performance plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir un vaste éventail de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation à elle seule vous dira qu'une entreprise dispose d'un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de compléter un sondage fournisseur ne vous apportera pas plus de confiance. Les sondages ne font que présenter les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature ?

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité simplement pour se conformer, mais n'ont en place aucune défense réelle.

Un exemple typique de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les scanners antivirus, la plupart des organisations investissent dans l'IDS/IPS comme une pratique standard de sécurité pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie regorge de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'en acheter.

J'ai récemment quitté une organisation qui avait "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs ont été informés que le système était un « fantastique outil », et même fournissement des exemples de trafic. En creusant plus profondément dans la télémétrie fournie par l'outil, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait à travers le capteur car il n'était pas configuré pour capturer ou alerter sur le trafic. De plus, les identifiants utilisés pour administrer l'outil avaient été créés par un employé précédent et n'ont jamais été mis à jour après son départ. Ainsi, l'outil restait essentiellement inactif pendant des mois sans intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations « opérationnelles » sur tous les systèmes - la norme consiste littéralement en une couche de question et réponse. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas sa viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour discerner un IDS/IPS fonctionnel d'un non fonctionnel. L'essentiel de l'audit repose sur l'entreprise pour montrer sa meilleure performance plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir un vaste éventail de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation à elle seule vous dira qu'une entreprise dispose d'un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de compléter un sondage fournisseur ne vous apportera pas plus de confiance. Les sondages ne font que présenter les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature ?

Évaluer l'Ensemble du Programme de Sécurité Cloud

Tout d'abord, vous devriez au minimum examiner les attestations et le rapport de findings, pas le résumé exécutif. Cela vous fournira un aperçu du programme examiné par un tiers. De plus, les programmes de sécurité complets devraient inclure des stratégies de protection des données robustes telles que les procédures de sauvegarde et de récupération de base de données pour assurer la continuité des activités et l'intégrité des données lors des incidents de sécurité. Deuxièmement, vous devriez absolument vérifier si l'entreprise passe par un programme de test de pénétration tiers ou de récompense pour les bogues. Personnellement, je ne suis pas fan des récompenses pour bogues, mais je suis fan des tests de pénétration par des tiers sur une base annuelle. Les tests de pénétration vous fournissent un test structuré de vos défenses et des retours réels sur les vulnérabilités. Enfin, passez en revue les documents de sécurité (généralement le sommaire) que l'entreprise utilise comme base pour la mise en œuvre. Cela inclut (mais n'est certainement pas limité à) une politique de sécurité, une réponse aux incidents et une gestion des vulnérabilités. Une équipe de sécurité expérimentée proposera de partager ces documents et artefacts dans le cadre des affaires courantes.

Je fais en sorte d'évaluer chaque fournisseur et partenaire du point de vue de l'accès aux données de l'entreprise. Cela signifie que si le partenaire ou le fournisseur gère les données de l'entreprise, il est soumis à plus de contrôle qu'un fournisseur qui ne le fait pas. Gardez à l'esprit l'objectif commercial lors de l'évaluation d'un programme de sécurité. J'examine l'objectif commercial et le type d'informations impliquées, puis j'évalue sous cet angle, plutôt que de traiter tous les partenaires et fournisseurs de la même manière. En cas de doute, demandez toujours plus d'informations.

Autres news

Lire la suite de cette catégorie

A person is standing at a desk while typing on a laptop.

La plateforme AI-native complète qui évolue avec votre business.

Contactez les ventes

Commencez gratuitement

© 2025 Bird

Contactez le Support

A person is standing at a desk while typing on a laptop.

La plateforme AI-native complète qui évolue avec votre business.

Contactez les ventes

Commencez gratuitement

© 2025 Bird

Contactez le Support

A person is standing at a desk while typing on a laptop.

La plateforme AI-native complète qui évolue avec votre business.

Contactez les ventes

Commencez gratuitement

© 2025 Bird

Contactez le Support