Stratégie de cyberdéfense : anticiper les menaces et protéger les systèmes d’information

fin de mettre en œuvre une stratégie de cyberdéfense cohérente et fiable, il est primordial d’identifier en amont les différentes phases du processus.

Phase 1 : Protéger ce qui doit l’être, ce qui est crucial pour l’entreprise

  • Définir une stratégie de défense proactive
  • Cibler ce qui est essentiel à l’activité de l’entreprise
  • Réaliser des audits de vulnérabilité et tests d’intrusion
  • Réaliser des analyses de risques et déterminer les impacts d’une attaque (BIA : Business Impact Analysis)
  • Définir un schéma directeur pour renforcer les mécanismes existants

 

Phase 2 : Mettre en place des technologies de sécurité adaptées 

  • Définir des solutions adaptées, et éviter la fuite en avant technologique 
  • Sélectionner les solutions pertinentes 
  • Limiter les risques opérationnels
  • Renforcer les technologies déjà en place, et les inclure dans le système de surveillance
  • Mesurer le risque induit par l’introduction d’une nouvelle solution

 

Phase 3 : Garantir la sécurité opérationnelle 

  • Mise en place de la surveillance et des processus de réaction
  • Surveillance du SI, corrélation, identifier les signaux faibles (collecte et métriques de surveillance)
  • Gestion des évènements de sécurité et qualification des évènements (positif ? négatif ?)
  • Gestion des incidents de sécurité, évaluation, investigation, remédiation
  • Audit, suivi des indicateurs, amélioration continue de sécurité
  • Sensibilisation des utilisateurs

 

Stratégie de cyberdéfense : quels outils utiliser ?

Une cartographie non exhaustive des différents outils permet la mise en œuvre de votre stratégie de défense : 

  • L’audit en sécurité et les tests d’intrusion : ils fournissent une « photo » de votre niveau de sécurité. Ils sont nécessaires en phase amont (mise en place de votre stratégie), mais également aval (pour maintenir en condition opérationnelle votre sécurité)
  • L’intégration de solutions de protection pertinentes et adaptées aux risques et aux menaces visant le périmètre sensible
  • La gestion des vulnérabilités du périmètre sensible et le périmètre exposé, internes ou sous-traités, permettant d’identifier et combler de possibles failles exploitables par les attaquants.
  • Les prestations de Conseil (établir la stratégie de sécurité) et sensibilisation des utilisateurs 
  • Le SOC (Security Operation Center – Centre Opérationnel de sécurité), réelle tour de contrôle du SI (détecter, analyser, et décider les différents leviers propres à un SI pour garantir le maintien de condition opérationnelle de sa sécurité.
  • Le Response Team : faire appel à des experts Sécurité pour identifier le vecteur d’attaque, les zones touchées et mettre en place des mécanismes de remédiation

 

Cyberdéfense : pour conclure 

La cybersécurité peut être représentée par la roue de Deming, ici appliquée à l’amélioration continuelle de la sécurité.

SOC Security Operationg Center SFR Business

 

La Phase amont, ou « Plan », permet de « construire » sa stratégie de sécurité à l’aide d’audits et d’analyses de risque permettant notamment de définir les bons indicateurs qui seront ensuite surveillés par le SOC.

La seconde phase, « Do », permet d’instaurer cette stratégie de sécurité, notamment par la mise en place des processus organisation et ressources technologiques en rapport avec cette stratégie de sécurité. 

La troisième phase, « Check », permet de vérifier que l’entreprise est bien en adéquation avec le niveau de sécurité attendu. Les audits d’architecture et de configuration, mais également d’intrusion, sont nécessaires face à l’évolution du SI dans le temps, occasionnant l’émergence de failles dans l’architecture ou la configuration du périmètre défensif métier. Le SOC, grâce à la surveillance des ressources métiers, pourra être amené à détecter une brèche exploitée.

La dernière phase, ici appelée « re-Act » pour REagir en cas d’attaque, permet d’être en mesure de mener une remédiation et de mettre en œuvre la reponse team qui interviendra pour essayer de déterminer le vecteur, mener la remédiation et, éventuellement, collecter les preuves juridiques (sources de l’attaque).