Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant j'aimerais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à mettre en évidence.
Les attestations ne mesurent pas toujours votre posture défensive
Une attestation, par définition, est une indication qui rend quelque chose évident. Dans le cas de la sécurité, spécifiquement des programmes de sécurité, cela signifie certifier en qualité officielle.
Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant j'aimerais indiquer un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à souligner. L'industrie s'appuie sur les attestations et les certifications pour mesurer vos défenses de sécurité. Les ingénieurs et les opérateurs vous diront que votre périmètre de sécurité réel et vos capacités d'évaluation des menaces définissent votre programme de sécurité. Je vous dirai que ce sont à la fois les attestations de conformité en tant que mesure et les capacités opérationnelles de votre équipe de sécurité qui définissent votre programme. Bien que les attestations seules ne soient pas un indicateur précis pour mesurer un programme.
Les attestations sont une nécessité de l'industrie pour garantir la conformité aux lois fédérales, locales et étatiques ainsi qu'aux meilleures pratiques de l'industrie. Les normes ISO, NIST ou DoD forment la base de la plupart des attestations. NIST, par exemple, publie un ensemble de normes et de guides techniques pour aider les organisations à bâtir des défenses périmétriques qui sont « acceptables » pour le gouvernement. Cependant, comme je vais le souligner, le fait que les normes soient établies ne signifie pas que la mise en œuvre est toujours excellente.
Le déploiement d'un outil ne signifie pas qu'il fournit de la valeur
Évaluer l'Ensemble du Programme de Sécurité Cloud
Tout d'abord, vous devriez au minimum examiner les attestations et le rapport de constatations, mais pas le résumé exécutif. Cela vous fournira une vue d'ensemble du programme examiné par un tiers. Deuxièmement, vous devriez absolument vérifier si l'entreprise subit un test de pénétration par un tiers ou un programme de bug bounty. Personnellement, je ne suis pas fan des bug bounties, mais je suis un adepte des tests de pénétration par un tiers sur une base annuelle. Le Pentesting vous offre un test structuré de vos défenses et des retours réels sur les vulnérabilités. Enfin, examinez les documents de sécurité (généralement le sommaire) utilisés par l'entreprise comme base de mise en œuvre. Cela inclut (mais ne se limite certainement pas à) une politique de sécurité, une réponse aux incidents et une gestion des vulnérabilités. Une équipe de sécurité expérimentée proposera de partager ces documents et artefacts dans le cadre des affaires normales.
Je fais habituellement une évaluation de chaque fournisseur et partenaire du point de vue de l'accès aux données de l'entreprise. Cela signifie que si le partenaire ou le fournisseur gère les données de l'entreprise, il est soumis à un examen plus minutieux qu'un fournisseur qui ne le fait pas. Gardez à l'esprit l'objectif commercial lors de l'évaluation d'un programme de sécurité. J'examine l'objectif commercial et le type d'informations impliquées, puis j'évalue sous cet angle, plutôt que de traiter tous les partenaires et fournisseurs de la même manière. En cas de doute, demandez toujours plus d'informations.
