LMi-MAG 8 Juillet 2021 - Flipbook - Page 36
RETOUR D’EXPÉRIENCE
Sécurité
d’outils redondants après une fusion/acquisition. Elle
peut aussi avoir accumulé les mêmes capacités à partir de
plusieurs solutions, les employés et les cadres déployant
leurs options préférées. D’autres encore ont pu choisir
des technologies sans avoir les ressources nécessaires
pour former leurs employés ou en embaucher de nouveaux pour comprendre, déployer ou utiliser correctement l’ensemble des capacités qu’ils ont achetées. John
Kronick, directeur régional de la gestion des risques et
de la gouvernance pour le consultant en sécurité NCC
Group, et lui-même ancien RSSI, explique qu’il a travaillé avec une entreprise qui disposait d’un logiciel de
prévention de la perte de données (Data Loss Prevention,
DLP) et d’un système de gestion des informations et
événements de sécurité (Security Information and
Event Management, SIEM), mais que celle-ci n’avait pas
les ressources nécessaires pour les adapter aux besoins
particuliers de l’entreprise, ce qui signifie qu’aucun des
outils ne fonctionnait au maximum de sa valeur.
Dans le même temps, les RSSI ont moins le droit à l’erreur,
tant en ce qui concerne leurs stratégies de sécurité que
les opérations de leur équipe. Le nombre et la complexité des menaces ne cessent de croître, le coût de l’échec
augmente et le budget pour financer les programmes
restera serré. Par conséquent, les RSSI sont soumis
à une pression croissante pour maximiser la valeur
de leurs investissements. « Les RSSI doivent s’assurer
qu’ils utilisent pleinement leurs solutions et services
avant d’en demander davantage. S’ils y parviennent, c’est
la première étape pour entamer un dialogue productif
sur les prochaines menaces contre lesquelles il faudra
défendre l’entreprise et sur l’argent qu’il faudra investir
pour y parvenir », explique M. Daswani.
Dépenses superflues
Toute entreprise
devrait réaliser, au moins
tous les 12 à 24 mois, un
audit de son environnement,
de son programme et
de ses technologies de
cybersécurité.
définissant les risques et les mesures d’atténuation appropriées. Elle devrait également procéder à un examen
stratégique de ce qu’elle possède, de ce qu’elle devrait
avoir et ce dont elle pourrait se délester. Elle peut procéder à une rationalisation des outils afin de déterminer réellement si elle dispose des bons outils pour ses
besoins de cybersécurité, en se débarrassant des redondances et de la complexité, et en comblant les lacunes. » Ce travail permettra aussi aux RSSI d’axer les
programmes de formation du personnel sur les technologies restantes, et d’améliorer encore plus les chances
d’utiliser chacune d’entre elles à sa pleine valeur. Selon
M. Heckman, ce travail est payant. « Tout le monde se
plaint de ne pas avoir assez d’argent, demande un budget
plus conséquent pour sa cybersécurité, mais en fin de
compte, si chacun prenait le recul nécessaire et faisait
une évaluation complète de ses outils et de ses capacités
de cybersécurité, il pourrait constater que s’il récupérait la moitié de l’argent dépensé pour des capacités qu’il
n’utilise pas, il pourrait couvrir d’autres ressources plus
stratégiques », présente-t-il.
Licence perpetuelle ou SaaS ?
« Pour ce faire, les RSSI doivent commencer par bien
comprendre les solutions de sécurité dont ils disposent
Tous les achats à venir devraient faire l’objet du même
afin de pouvoir évaluer si elles s’alignent sur la stratégie
examen minutieux de la part des RSSI afin de s’assurer
de sécurité de l’entreprise et si elles permettent de traique la fonction de sécurité n’est pas à nouveau sous-utilisée. Pour ce faire, ces derniers devraient
ter les risques auxquels elle est confrontée »,
L’ANSSI RAPPELLE LES
aligner chaque nouvel achat sur leurs obprévient pour sa part Don Heckman, direcPOINTS DE CONTRÔLE
teur de la cybersécurité chez Guidehouse, SUR ACTIVE DIRECTORY jectifs stratégiques, comme l’explique Tom
Kellermann, responsable de la stratégie de
une entreprise de conseil, de consulting et
Article
cybersécurité chez VMware, Global Fellow
d’externalisation. « Toute entreprise devrait
du Wilson Center for Cybersecurity Policy
réaliser, au moins tous les 12 à 24 mois, un
et membre du United States Secret Service
audit de son environnement, de son proCybercrime Investigations Advisory Board.
gramme et de ses technologies de cyberCelui-ci suggère d’aligner les capacités sur
sécurité. Et devrait d’abord se doter d’un
des frameworks comme le modèle MITRE
solide programme de gestion des risques,
cutt.ly/anssi-active
36 / Hors-série Sécurité / juillet 2021