Règles d'engagement : appel à l'action pour automatiser la réponse aux violations de sécurité - ServiceNow
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE
Règles d’engagement : appel à l’action pour
automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
par Joseph Blankenship et John Kindervag
3 août 2016
Objectifs du rapport Principales conclusions
À mesure que les coûts de réparation, l’impact Empêcher les violations de données est une
sur les clients et les dégâts occasionnés à la priorité absolue pour les entreprises
réputation des entreprises par des violations Une violation massive de données clients peut
de données continuent de s’envoler, le secteur représenter pour les entreprises un coût de
de la sécurité doit trouver de nouveaux moyens plusieurs centaines de millions d’euros du fait
d’empêcher l’exfiltration de données privées des coûts de réparation, de la perte de clients et
par des cybercriminels et autres acteurs de la perte de chiffre d’affaires engendrés. Le vol
malintentionnés. Ce rapport constitue un appel de propriété intellectuelle peut quant à lui faire
à l’action pour le développement de processus perdre définitivement tout avantage concurrentiel.
de réponse aux menaces davantage automatisés
et d’un ensemble de règles d’engagement La direction doit donner à l’équipe de sécurité
informatiques. Les professionnels de la sécurité les moyens d’empêcher les violations de
seront ainsi en mesure d’agir plus rapidement et données
plus efficacement pour mettre fin aux violations Les responsables de la sécurité doivent
de données avant qu’elles n’aient une incidence s’efforcer de comprendre les objectifs de
sur l’entreprise. l’entreprise et convaincre la direction de donner
à leurs équipes les moyens de répondre de
Ce document correspond à une mise à jour d’un façon appropriée à une éventuelle violation de
rapport publié précédemment. Forrester le révise données. Aujourd’hui, les PDG et les conseils
et le met à jour régulièrement, afin de garantir sa d’administration se soucient plus que jamais de la
pertinence et sa précision. sécurité et de l’impact potentiel d’une violation de
données sur l’entreprise.
La réponse : l’automatisation
La sécurité n’a pas emboîté le pas des autres
domaines de l’entreprise qui tirent parti de
l’automatisation. Compte tenu des effets
dévastateurs des violations de données, les
entreprises ne peuvent plus se permettre de
se reposer sur des procédures passives et
manuelles pour se défendre. Le seul moyen
d’empêcher l’exfiltration de données par des
pirates et des cybercriminels consiste à fournir
aux équipes de sécurité un ensemble de règles
à même de favoriser une réponse automatisée.
FORRESTER.COMPOUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE
Règles d’engagement : appel à l’action pour automatiser la
réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
par Joseph Blankenship et John Kindervag
avec Stephanie Balaouras, Glenn O’Donnell, Heidi Shey, Salvatore Schiano, Trevor Lyness et
Peggy Dostie
3 août 2016
Table des matières Remarques et ressources
2 Empêcher les violations de données est une Ce rapport analyse des attaques de cybersécurité
priorité absolue pour les entreprises importantes pour offrir aux professionnels
Les équipes de sécurité n’ont souvent de la gestion de la sécurité et du risque les
pas l’agilité et la rapidité nécessaires pour informations précieuses dont ils ont besoin pour
empêcher des violations de données répondre à ces problèmes et empêcher leur
dévastatrices survenue future.
4 Pour empêcher les violations de données,
les équipes de sécurité ont besoin de règles Documents d’étude associés
d’engagement
Counteract Cyberattacks With Security Analytics
Les règles d’engagement doivent mettre (Contrer les cyberattaques à l’aide de l’analyse de
l’accent sur l’exfiltration de données, les la sécurité)
communications et la sécurité déclarative
The Cybercriminal’s Prize: Your Customer Data
6 Une réponse automatisée via des règles
And Intellectual Property (La récompense du
d’engagement est l’avenir de la sécurité
cybercriminel : vos données clients et votre
Définir la politique permettant d’automatiser propriété intellectuelle)
la réponse
Lessons Learned From The World’s Biggest
Suivre le workflow des règles d’engagement Customer Data Breaches And Privacy Incidents
Créer un indice de réponse (Enseignements tirés des violations de données
clients et des incidents liés à la confidentialité les
Recommandations plus importants), 2015
10 L’automatisation de la sécurité est
inévitable ; prenez dès maintenant
des mesures pour adopter des règles
d’engagement
12 Autres références
Forrester Research, Inc., 60 Acorn Park Drive, Cambridge, MA 02140 États-Unis
+1 617-613-6000 | Fax : +1 617-613-5000 | forrester.com
© 2016 Forrester Research, Inc. Les opinions dans ce document sont le reflet d’un jugement à un
moment donné et peuvent changer. Forrester®, Technographics®, Forrester Wave, RoleView, TechRadar
et Total Economic Impact sont des marques de Forrester Research, Inc. Toutes les autres marques sont
la propriété de leurs détenteurs respectifs. La copie ou la diffusion non autorisée constitue une violation
de la loi sur les droits d’auteur. Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
Empêcher les violations de données est une priorité absolue pour les
entreprises
Il semblerait qu’il ne se passe pas un jour sans qu’on parle d’une violation de sécurité massive dans
les actualités. Les consommateurs doivent faire face aux conséquences émotionnelles et financières
du vol de leur identité, tandis que les grandes enseignes et entreprises dépensent des millions
pour répondre au vol de données clients sensibles et de propriété intellectuelle et faire en sorte
que ce genre d’incident ne puisse plus se reproduire. L’ère des « méga-violations » a commencé
le 18 décembre 2013, lorsque Target a annoncé publiquement avoir été victime d’une violation de
données concernant quelque 110 millions de dossiers clients, avec notamment le vol de 40 millions
de numéros de carte de crédit. Depuis ce jour, une multitude d’entreprises de secteurs variés (Anthem,
Home Depot, TalkTalk, l’US Internal Revenue Service (IRS) et l’US Office of Personnel Management
(OPM), pour n’en citer que quelques-unes), ont connu des cyberattaques et des violations de données
de très grande ampleur1. Ces violations de données ont eu un effet désastreux sur le commerce
mondial à plus d’un titre :
› L’incidence sur les clients est énorme. La violation de données d’octobre 2015 a fait perdre
100 000 clients à TalkTalk et lui a coûté 60 millions de livres (65 millions d’euros)2. L’OPM va
dépenser 330 millions de dollars simplement pour protéger les victimes de sa violation de
données3. Cela montre qu’une violation de données peut anéantir la confiance des clients et donc
nuire à leur fidélité, mais aussi qu’elle peut avoir un impact durable sur les individus dans certains
secteurs.
› Les coûts sont gigantesques. Dans le rapport annuel 10-K de 2015 déposé par Target le
11 mars 2016, on peut lire : « Depuis la violation de données, nous avons engagé 291 millions
de dollars de dépenses cumulatives, partiellement compensées par les indemnités d’assurance
prévues de 90 millions de dollars, soit des dépenses cumulatives nettes égales à 201 millions de
dollars. »4 La violation de données subie par Home Depot lui a à ce jour coûté 232 millions de
dollars ; les procès auxquels le distributeur fait face pourraient faire monter la facture à plusieurs
milliards de dollars5. Il n’est pas uniquement question de coûts de réparation : en cas de violation
de propriété intellectuelle, le vol de données peut entraîner une perte de chiffre d’affaires de
plusieurs millions d’euros, voire la disparition définitive de tout avantage concurrentiel. Codan,
une entreprise spécialisée dans les technologies de détection de métaux et minières, a dû baisser
les prix de ses détecteurs de métaux après que des pirates lui ont volé les plans de ses produits et
inondé le marché d’imitations6.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 2
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
› Les investisseurs et les conseils d’administration tiennent à la fois pour responsables les
dirigeants d’entreprise et les responsables des technologies. Dans cette nouvelle ère, les
investisseurs et les conseils d’administration tiennent les cadres de direction pour responsables
des violations de données7. Target a licencié son PDG et son DSI8. Sony a licencié sa PDG,
Amy Pascal, conséquemment à la violation de données de décembre 20159. La direction de l’OPM,
Katherine Archuleta, a renoncé à ses fonctions en juillet 2015 suite à la violation de données subie
par l’organisme américain10. Atiur Rahman, le gouverneur de la Banque centrale du Bangladesh,
a remis sa démission le 15 mars 2016 après le vol de 81 millions de dollars sur le compte de la
banque à l’antenne de New York de la Réserve fédérale des États-Unis11.
Les équipes de sécurité n’ont souvent pas l’agilité et la rapidité nécessaires pour empêcher des
violations de données dévastatrices
Les pirates ne sont soumis à aucun processus de gestion des changements. Pour quiconque a subi
une violation de données, cette affirmation va de soi. Les pirates et autres cybercriminels sont
capables de porter sans relâche des attaques contre vos ressources numériques (vos réseaux et
périphériques) pour parvenir à leurs fins : voler vos données. Ils ne sont pas concernés par les types
de processus qui peuvent nuire à la conduite des activités pendant une attaque, et ils ont toujours un
temps d’avance conséquent sur l’entreprise. Moins de 25 % des entreprises découvrent les violations
de données en quelques jours au plus, ce qui signifie que les assaillants ont généralement plus de
temps qu’il ne leur faut pour commettre leur infraction12. Le problème le plus important auquel les
équipes de sécurité sont confrontées aujourd’hui concerne le manque de rapidité et d’agilité dans
la réponse à une violation de données présumée. Pourquoi manquent-elles de rapidité et d’agilité ?
Eh bien, les raisons sont multiples :
› Elles n’ont pas les outils appropriés en place pour détecter les violations de données. Par le
passé, les responsables des technologies étaient beaucoup plus préoccupés par la disponibilité
des applications métier et du réseau que par la sécurité des données. Par conséquent, un grand
nombre d’équipes de sécurité ne disposent pas d’outils tels que les systèmes de surveillance de
l’activité de base de données, de visibilité et de contrôle des terminaux, et d’analyse et de visibilité
du réseau, qui aident à identifier les comportements anormaux à l’échelle des applications, des
terminaux et du réseau13. La plupart des équipes de sécurité ne sont pas en mesure de détecter
une violation de données ou d’y répondre avant qu’elle ait eu lieu.
› Elles ne disposent pas de ressources suffisantes pour analyser les alertes et y répondre
de façon adéquate. La pénurie de professionnels de la sécurité qualifiés dont il a largement
été fait état est une réalité. D’après nos études, 60 % des décisionnaires impliqués dans la
sécurité informatique citent le manque de personnel comme un obstacle pour leur entreprise14.
Par conséquent, les entreprises sont obligées d’ignorer un grand nombre d’alertes, qui sont
susceptibles d’être des signes avant-coureurs d’une intrusion. En 2015, moins de 10 % des
entreprises étaient capables de reconnaître une alerte de logiciel malveillant s’inscrivant dans
une activité d’intrusion plus large et d’y répondre15.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 3
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
› Elles n’ont pas la liberté de manœuvre nécessaire pour empêcher les violations de données
présumées de manière proactive. Même s’ils détectent une violation de données potentielle,
les professionnels de la sécurité ne sont pas toujours habilités par leur entreprise à la bloquer
immédiatement. La première chose qu’ils doivent faire est de valider la violation : est-elle avérée
ou non ? Le temps que l’équipe de sécurité effectue une investigation de validation de la violation
de données, les assaillants se sont déjà éclipsés avec de précieuses informations. C’est la raison
pour laquelle la plupart des équipes de sécurité déploient leurs solutions de prévention des pertes
de données (DLP) en mode passif. La crainte qu’a la direction de voir un e-mail professionnel
légitime avec une pièce jointe contenant des données sensibles (même si cela va à l’encontre de la
politique en vigueur) bloqué par l’équipe de sécurité dépasse de loin sa préoccupation à l’égard de
l’exfiltration de données.
› Elles sont informées des violations de données par une tierce partie. La plupart des victimes
de violations de données sont encore informées de la survenue d’une violation par un tiers.
Mandiant, la branche investigation du fournisseur de sécurité FireEye, a indiqué que 53 % des
violations de données qu’il a analysées en 2015 ont été initialement signalées par des entités
externes16.
Pour empêcher les violations de données, les équipes de sécurité ont
besoin de règles d’engagement
Pour combattre sur le champ de bataille informatique du 21e siècle, les équipes de sécurité doivent
disposer de règles d’engagement. Lorsqu’une entreprise subit une violation de données, les employés
croient souvent que c’est la première fois qu’un tel événement se produit. Le manque de préparation
en matière de plans de réponse aux incidents (RI) renforce cette impression. Bien qu’il puisse y avoir
un plan RI en place, celui-ci est rarement testé en conditions d’attaque réelle. Une étude récente
a fait ressortir que 16 % des entreprises n’ont pas mis à jour leur plan RI depuis plus de cinq ans,
un chiffre en baisse par rapport à 2014 (23 %), et que 40 % des entreprises testent leur plan, alors
qu’elles étaient 46 % en 201417. Lorsqu’une entreprise active son plan RI, il est trop tard : elle a déjà
subi une violation de données. La RI est essentielle, mais au bout du compte, elle reste un exercice
de réparation. Elle n’empêche pas la survenue d’une violation de données. L’établissement d’un
ensemble de politiques — les règles d’engagement de l’entreprise — donne aux employés de sécurité
les moyens de répondre immédiatement à une violation de données présumée et de lui faire obstacle
avant qu’elle n’ait un impact négatif considérable sur l’entreprise.
› Prenez exemple sur les situations de combat réel. Sur un champ de bataille, tous les
combattants ont reçu un ensemble de règles d’engagement. Les règles d’engagement définissent
ce qu’un soldat peut et ne peut pas faire dans des circonstances données. Elles permettent
à un soldat individuel de prendre les mesures appropriées sans devoir remonter la chaîne de
commandement.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 4
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
› Ajustez vos règles d’engagement pour le champ de bataille informatique. Sur le champ
de bataille informatique, il y a des politiques, des processus et des procédures qui limitent la
capacité du cybercombattant (le professionnel de la sécurité) à prendre les mesures appropriées
et nécessaires. Les activités opérationnelles telles que la gestion des changements et la gestion
des configurations, qui sont essentielles dans des conditions ordinaires, peuvent empêcher une
réponse immédiate et efficace. Si un professionnel de la sécurité soupçonne un employé privilégié
de télécharger des données sensibles à partir d’une base de données de production, changer ou
suspendre sur-le-champ les privilèges de cet employé s’avère bien plus efficace que d’attendre
plusieurs jours pour mener une investigation, puis demander un tel changement.
› Réagissez en conséquence. Lorsqu’un soldat est blessé au combat, les médecins ne disent pas
à la victime : « On dirait que vous avez une plaie aspirante au thorax. Vous feriez mieux de vous
faire examiner. »18 Au lieu de cela, ils agissent rapidement pour arrêter l’hémorragie et transporter
le soldat jusqu’à un poste de secours. Les professionnels de la sécurité doivent être en mesure de
réagir rapidement, et pas se contenter de signaler qu’un système présente un problème.
Les règles d’engagement doivent mettre l’accent sur l’exfiltration de données, les
communications et la sécurité déclarative
La priorité à court terme des équipes de sécurité doit être de comprendre les objectifs de l’entreprise et
de convaincre la direction de leur donner les moyens de répondre de façon appropriée à une éventuelle
violation de données. Aujourd’hui, les PDG et les conseils d’administration se soucient plus que jamais
auparavant de la sécurité et de l’impact potentiel d’une violation de données sur l’entreprise19.
Malheureusement, la plupart des violations de données sont découvertes par des tiers ; l’entité qui
a subi la violation la découvre rarement en premier. Comme nous l’avons expliqué précédemment,
le problème découle en grande partie de l’absence d’une technologie de détection appropriée.
Mais à cela s’ajoute le fait que les équipes de sécurité ne cherchent pas à détecter les violations
de données. Elles cherchent plutôt à détecter les attaques. Bien qu’une attaque puisse apporter
des preuves de la probabilité d’une violation de données — ce que l’industrie désigne sous le nom
d’indicateurs de compromission (IOC)—, elle n’implique pas nécessairement la survenue d’une
telle violation. Pour aider les équipes de sécurité à identifier les violations de données, les règles
d’engagement doivent :
› Identifier l’exfiltration de données. Il y a violation de données uniquement lorsqu’un pirate ou
une personne malveillante en interne exfiltre des données réglementées ou sensibles (ce que nous
appelons données toxiques) à partir du réseau ou des applications de l’entreprise20. Lorsque les
équipes de sécurité s’emploient à identifier les attaques et à empêcher les assaillants de parvenir
à leurs fins, elles en oublient souvent de surveiller que des données toxiques ne quittent pas
l’entreprise. Par ailleurs, le fait de se concentrer sur les attaques plutôt que sur l’exfiltration de
données peut donner aux équipes de sécurité une illusion de sécurité si elles ont l’impression
qu’elles empêchent la plupart des attaques.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 5
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
› Empêcher l’exfiltration de données. Les équipes de sécurité modernes doivent également
s’employer tout autant à détecter et à empêcher l’exfiltration de données toxiques par des acteurs
malveillants. Pour ce faire, elles doivent passer d’une approche exclusivement centrée sur les
attaques à une approche plus équilibrée qui accorde le niveau d’attention approprié à l’exfiltration
de données. Bien que la prévention ait encore son utilité, elle peut échouer, et c’est ce qui
arrivera21.
› Communiquer une vision stratégique à la direction. D’après nos études, 50 % des
décisionnaires impliqués dans la sécurité au niveau mondial estiment que les cyberattaques
très médiatisées ont sensibilisé la direction à l’importance de la sécurité des informations/
informatique22. Les professionnels de la sécurité peuvent tirer parti de ce nouvel état de fait et
s’efforcer de bâtir une meilleure relation avec la direction — avant qu’une violation de données
ne survienne. Pour qu’ils puissent y parvenir, la politique de sécurité doit favoriser la réalisation des
objectifs de l’entreprise. Malheureusement, les professionnels de la sécurité adoptent souvent les
politiques de sécurité sans consulter la direction. Les dirigeants présument que tout va bien, mais
lorsqu’une violation de données se produit, tout le monde est surpris. Un recours excessif à des
politiques obsolètes ne fonctionne pas dans notre nouvel environnement d’entreprise numérique
axé sur les données. Les politiques ne sont pas adaptées aux besoins de sécurité de la direction,
problème auquel les professionnels de la sécurité doivent remédier.
› Participer à la sécurité déclarative. La sécurité déclarative est le concept selon lequel la direction
est le moteur des objectifs de sécurité. La direction déclare l’état de sécurité souhaité en identifiant
les initiatives de conformité, les priorités en matière de protection des données, les paramètres
à prendre en compte pour la protection de la marque ou les éléments de propriété intellectuelle
sensibles. Elle déclare un ensemble de priorités pour élaborer un seuil de protection ou de
réponse et définir les limites au-delà desquelles l’équipe de sécurité peut intervenir pour empêcher
l’exfiltration de données, sans avoir à suivre de lourde procédure d’approbation.
Une réponse automatisée via des règles d’engagement est l’avenir de la
sécurité
Le seul moyen de satisfaire la déclaration de la direction et d’empêcher l’exfiltration de données
toxiques consiste à automatiser la réponse aux violations de sécurité. Le niveau de complexité
systémique a tellement augmenté qu’une réponse manuelle par des analystes de sécurité est trop
difficile et inefficace. Par le passé, il était important d’avoir une composante manuelle majeure dans
la configuration des systèmes, mais il s’avère que l’erreur humaine (les défauts de configuration,
par exemple) est en grande partie à l’origine des interruptions de service réseau et des failles de
sécurité. Il existe souvent une réticence à l’égard de l’automatisation de la sécurité, mais la maturité
des systèmes est telle qu’il est désormais possible d’atteindre un niveau d’automatisation intéressant
et fiable.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 6
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
Définir la politique permettant d’automatiser la réponse
Nous devons changer de mentalité vis-à-vis de l’automatisation. Lorsqu’une personne commet une
erreur qui entraîne une panne de réseau ou un incident de sécurité, nous lui pardonnons volontiers,
car nous respectons l’adage « L’erreur est humaine ». Mais si nous nous apercevons qu’un outil
d’automatisation est à l’origine d’une erreur, nous sommes bien moins disposés à ne pas en tenir
rigueur. Bien entendu, l’efficacité de n’importe quel système informatique dépend entièrement de la
façon dont il est programmé. Et c’est là qu’il convient de tirer parti de la déclaration de sécurité de la
direction. La conversion d’un énoncé de sécurité déclaratif en politique de contrôle effective permet
de garantir l’alignement entre les activités et la sécurité.
Dans cet environnement, la direction déclare un état de sécurité, l’équipe de sécurité le convertit
en politique et l’équipe responsable des opérations met en œuvre la politique sur les contrôles.
Ce système offre plusieurs niveaux d’audit et d’application (voir Figure 1).
FIGURE 1 Schéma des règles d’engagement
Déclare les besoins de sécurité
Dir.
Audit
Crée une politique qui répond aux besoins déclarés
Séc.
Application
Met en œuvre la politique
Ops
Suivre le workflow des règles d’engagement
Forrester a élaboré un workflow qui montre comment les équipes de sécurité peuvent convertir
des règles d’engagement en objectifs de contrôle effectifs. L’interaction entre l’énoncé déclaratif, la
politique de sécurité, les données et le moteur d’analyse permet aux équipes de sécurité d’entrer dans
une nouvelle ère de l’automatisation (voir Figure 2). Voici les différents éléments de ce workflow :
› La politique déclarée. C’est sur cet énoncé de politique que tout repose. Les professionnels de
la sécurité convertissent la déclaration de sécurité de la direction en un ensemble de règles ou de
configurations utilisables par le moteur d’analyse au cœur du système de règles d’engagement.
› Des données informatiques. Les ressources numériques laissent derrière elles un sillage de
données. Le sillage de données correspond aux données de journaux, de flux et aux métadonnées
résiduelles propres à l’ère du numérique. L’ajout de données informatiques à l’analyse de
la sécurité fournit les informations brutes requises pour commencer l’analyse des règles
d’engagement. Il est impératif de collecter le plus de données possible afin de disposer des
informations nécessaires pour rendre le système automatisé fonctionnel et efficace.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 7
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
› Une identité de données. L’identité de données correspond aux métadonnées concernant
les données (leur classification, par exemple), que les entreprises doivent intégrer de façon
permanente dans les données23. Il est important de comprendre que les données doivent circuler
avec leurs attributs d’identité pour qu’un contrôle puisse identifier les données qu’il doit protéger
contre les exfiltrations.
› L’outil d’analyse de la sécurité. L’analyse de la sécurité va au-delà de la mise en œuvre d’un
outil de gestion des informations de sécurité (SIM). Elle inclut non seulement la collecte et la mise
en corrélation des données de journaux du réseau et des systèmes traditionnels, mais également
l’intégration de nouveaux types de données de sécurité et informatiques provenant de l’ensemble
de l’activité numérique. Celles-ci comprennent les flux des outils d’analyse et de visibilité du
réseau, les alertes émises par les outils DLP, l’analyse des comportements issue des outils de
gestion des identités et des accès (IAM), ainsi que les flux d’informations sur les menaces fournis
par les différents prestataires et fournisseurs de sécurité24. La politique déclarée, les données
informatiques et les informations d’identité des données alimentent ensemble l’outil d’analyse de
la sécurité pour créer un indice de réponse.
FIGURE 2 Définir la politique permettant d’automatiser la réponse
Ac
t
io
Réponse
Élevée
n
Politique déclarée automatique
Moteur de règles
Probabilité d’attaque
d’engagement : Comme la politique
Identité de
Si la configuration déclarée définit la réponse,
données
Analyse de est [x], bloquer ; l’équipe de sécurité est
la sécurité autrement, habilitée à agir.
consigner dans
un rapport.
Données Rapport
informatiques Faible
es
ur
es
M
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 8
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
Créer un indice de réponse
Afin d’aider les équipes de sécurité à déterminer les mesures à prendre, Forrester a développé
un concept d’indice de réponse qui définit pour le système de règles d’engagement le niveau de
probabilité qu’un événement de sécurité potentiel, tel qu’une violation de données, est effectivement
en train de se produire. En tirant parti d’un moteur d’analyse de la sécurité qui génère un indice de
réponse, une équipe de sécurité peut automatiser le type de réponse approprié, car la validation d’un
événement par le système est étayée par une mesure exploitable.
› Un indice de réponse détermine les événements les plus importants et les plus probables.
Un indice de réponse quantifie le niveau de probabilité d’un événement sur l’axe vertical et
son impact sur l’axe horizontal (voir Figure 3). En plus d’inclure des données exploitables
supplémentaires, les outils d’analyse de la sécurité s’intègrent avec les autres contrôles de sécurité
de votre environnement pour vous permettre d’orchestrer et d’automatiser la détection des
violations de données et la réponse à celles-ci. Les offres principales comprennent BAE Systems
Applied Intelligence, HPE Security ArcSight, Huntsman Security, IBM QRadar, Intel Security
Enterprise Security Manager, LogRhythm et RSA Security Analytics25.
› La direction définit la mesure appropriée de l’indice de réponse pour chaque événement.
Une entreprise peut décider de ne prendre aucune mesure lorsque le moteur détermine qu’un
événement présente un impact et un niveau de probabilité faibles. Cependant, lorsque l’impact
et le niveau de probabilité sont élevés, la politique de sécurité déclarée doit imposer que les
contrôles de sécurité interrompent ou bloquent automatiquement le trafic suspect. La direction
doit déterminer le degré et les seuils les mieux adaptés à son profil de risque et à la prise de risque
qu’elle s’autorise.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 9
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
FIGURE 3 L’indice de réponse
Élevé
Sécurité déclarative
Alerte, rapport et arrêt
Niveau de
probabilité
Alerte et rapport
Pas de réponse
Faible
Faible Élevé
Impact
Recommandations
L’automatisation de la sécurité est inévitable ; prenez dès maintenant
des mesures pour adopter des règles d’engagement
Compte tenu de la nature des menaces et des effets dévastateurs des violations de données, les
entreprises ne peuvent plus se permettre de se reposer sur des procédures passives et manuelles pour
se défendre. Le seul moyen d’empêcher l’exfiltration de données par des pirates et des cybercriminels
consiste à fournir aux équipes de sécurité un ensemble de règles à même de favoriser une réponse
automatisée. Les violations de données sont si rapides qu’aucun humain n’est en mesure d’aller aussi
vite, peu importe le niveau de compétence et d’application. Les conséquences sont trop importantes
pour ne pas adopter des réponses de sécurité davantage automatisées. Cependant, mettre en place
l’environnement nécessaire à l’approche de règles d’engagement pour automatiser la réponse aux
violations de données représente un changement de culture considérable autour duquel l’entreprise
doit communiquer avec soin. Les professionnels de la sécurité peuvent prendre différentes mesures
pour commencer à élaborer une réponse de sécurité basée sur des règles d’engagement :
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 10
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
› Recherchez la preuve que des données ont été exfiltrées. Protéger les données de vos clients
doit être votre priorité en matière de sécurité ; en tant que professionnel de la sécurité, vous devez
vous focaliser entièrement sur vos clients26. Vous devez ne plus vous concentrer uniquement sur
les attaques, mais tout autant sur les exfiltrations, pour préparer vos équipes à l’adoption de règles
d’engagement. Un moyen qui s’offre à vous consiste à vérifier si des cybercriminels achètent et
vendent déjà les données de vos clients sur le marché noir. Il est probable que vous constatiez
également qu’une partie de votre propriété intellectuelle y est vendue.
› Trouvez un soutien parmi l’équipe dirigeante une fois que vous détenez la preuve que des
données ont été exfiltrées. Les dirigeants doivent comprendre la nécessité du passage à une
approche de sécurité davantage automatisée et basée sur des règles d’engagement, et prôner
ce changement. Leur montrer la preuve que des données ont été exfiltrées constitue un moyen
tangible de prouver toute l’importance de l’automatisation de la réponse aux violations de données.
Vous pouvez « recruter » le DSI, mais il est préférable de trouver un dirigeant visionnaire qui peut
promouvoir ces idées dans toute l’équipe de direction. Le responsable de l’expérience client ou le
directeur du service client pourrait faire un excellent allié, car les violations de données nuisent à la
confiance et à la fidélité des clients envers l’entreprise.
› Travaillez avec vos confrères afin de définir un workflow de règles d’engagement pour
votre entreprise. Une grande partie du travail de création d’une approche de la sécurité basée
sur des règles s’articule autour de l’élaboration d’un ensemble de workflows et de processus.
Vos confrères de l’équipe Infrastructure et opérations (I&O) constituent un bon point de départ.
Trop souvent, l’équipe I&O et l’équipe de sécurité font appel à des centres d’opérations réseau
et des centres de gestion de la sécurité distincts. Lorsque ces équipes sont séparées de la sorte,
chacune d’elles met en place ses propres politiques et acquiert ses propres contrôles, et trop
souvent, leurs priorités sont contradictoires (disponibilité vs sécurité). En faisant converger les
aspects opérationnels de l’équipe réseau et de l’équipe de sécurité au sein d’une même unité
organisationnelle, ces équipes peuvent gagner en efficacité et être bien plus à même de définir,
puis de mettre en œuvre un cadre de règles d’engagement.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 11
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
Contactez un analyste
Prenez vos décisions en toute confiance en collaborant avec les leaders Forrester pour appliquer
nos recherches à vos projets commerciaux et technologiques spécifiques.
Un analyste vous répond Un analyste vous conseille
Posez une question relative à nos Mettez les recherches en pratique
recherches ; un analyste Forrester vous à l’aide d’une analyse approfondie de vos
aidera à les mettre en pratique et à passer enjeux commerciaux et technologiques
à l’étape suivante. Programmez un spécifiques. Les engagements comprennent
entretien téléphonique de 30 minutes avec des appels consultatifs personnalisés,
l’analyste ou optez pour une réponse par des journées d’étude, des ateliers, des
e-mail. présentations et des webinaires.
Informez-vous davantage sur les Découvrez les sessions de conseil
entretiens, et accédez à des conseils interactives et le soutien que nous pouvons
destinés à optimiser la discussion. apporter à vos projets.
Autres références
Réalisée entre avril et juin 2015, l’étude Business Technographics® 2015 de Forrester portant sur
la sécurité au niveau mondial a porté sur 3 513 décisionnaires commerciaux et technologiques
d’entreprises comptant au minimum 2 employés dans les pays suivants : Allemagne, Australie, Brésil,
Canada, Chine, États-Unis, France, Inde, Nouvelle-Zélande et Royaume-Uni.
L’étude Business Technographics de Forrester fournit des informations orientées demande sur les
priorités, les investissements et le contact avec les clients des décisionnaires technologiques et
commerciaux et des collaborateurs du monde entier. Forrester recueille des informations auprès de
participants qualifiés dans 10 pays et sur trois continents (Amériques, Europe et Asie). Afin de garantir
des données de la plus haute qualité, Business Technographics s’appuie exclusivement sur des
sources de premier ordre et sur des techniques de nettoyage de données avancées.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 12
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
Notes de bas de page
1
Les violations de données clients massives font la une des actualités pendant plusieurs jours. Cependant, des mois
et même des années après, les clients concernés continuent à en subir les conséquences et les entreprises en
absorbent encore les coûts. En méditant sur ces violations de données, nous pouvons en tirer des enseignements
à long terme à même d’aider les professionnels de la sécurité et du risque à améliorer l’approche globale en matière
de sécurité et la réponse à ce type d’événement de sécurité, mais aussi à faire prendre conscience de l’importance de
la réglementation en matière de confidentialité et de la confiance des clients dans leur entreprise. Pour apporter ces
enseignements précieux, nous sélectionnons et analysons chaque année cinq incidents notables survenus au cours
des 12 derniers mois. Pour en savoir plus, consultez le rapport Forrester de 2015 intitulé « Lessons Learned From The
World’s Biggest Customer Data Breaches And Privacy Incidents » (Enseignements tirés des violations de données
clients et des incidents liés à la confidentialité les plus importants).
2
Source : Richard Starnes, « Data breaches often result in CEO firing » (Les violations de données se soldent souvent
par le licenciement des PDG), CSO, 7 mars 2016 (http://www.csoonline.com/article/3040982/security/data-breaches-
often-result-in-ceo-firing.html?page=2).
3
Source : Jack Moore, « Government Will Actually Spend $330 Million To Protect Victims Of The OPM Hack » (Le
gouvernement va dépenser pas moins de 330 millions de dollars pour protéger les victimes du piratage subi par
l’OPM), Nextgov, 2 septembre 2015 (http://www.nextgov.com/cybersecurity/2015/09/government-will-actually-spend-
330-million-protect-victims-opm-hack/120065/?oref=river).
4
Source : « sec filings » (Déclarations à la SEC), A Bullseye View (http://investors.target.com/phoenix.
zhtml?c=65828&p=IROL-secToc&TOC=aHR0cDovL2FwaS50ZW5rd2l6YXJkLmNvbS9vdXRsaW5lLnhtbD9yZXBvPXRl
bmsmaXBhZ2U9MTA4MTA5MzMmc3Vic2lkPTU3&ListAll=1&sXBRL=1).
5
Source : Greg Masters, « Les coûts de la violation de données subie par Home Depot devraient se chiffrer à plusieurs
milliards de dollars), SC Magazine, 2 octobre 2015 (http://www.scmagazine.com/home-depot-breach-costs-expected-
to-reach-billions/article/442849/).
6
Source : Byron Kaye et Jane Wardell, « UPDATE 1-Australian metal detector company counts cost of Chinese
hacking » (MISE À JOUR 1 - Le fabricant de détecteurs de métaux australien comptabilise le coût du piratage
chinois qu’il a subi », Reuters, 24 juin 2015 (http://www.reuters.com/article/china-cybersecurity-australia-pix-graphi-
idUSL3N0ZB15O20150625).
7
Source : Eric Basu, « CEOs Can No Longer Sit Idly By on Cybersecurity » (Les PDG ne peuvent plus rester les
bras croisés face aux problèmes de cybersécurité), Entrepreneur, 16 mai 2014 (http://www.entrepreneur.com/
article/233911).
8
Source : Howard Baldwin, « The Other Shoe Drops For Target’s CIO » (Le DSI de Target subit de plein
fouet les conséquences de la violation de données), Forbes, 11 mars 2014 (http://www.forbes.com/sites/
howardbaldwin/2014/03/11/the-other-shoe-drops-for-targets-cio/).
9
Source : Richard Starnes, « Data breaches often result in CEO firing » (Les violations de données se soldent souvent
par le licenciement des PDG), CSO, 7 mars 2016 (http://www.csoonline.com/article/3040982/security/data-breaches-
often-result-in-ceo-firing.html?page=2).
10
Source : Evan Perez et Wesley Bruer, « OPM Director Katherine Archuleta steps down » (La directrice de l’OPM,
Katherine Archuleta, renonce à ses fonctions), CNN, 11 juillet 2015 (http://www.cnn.com/2015/07/10/politics/opm-
director-resigns-katherine-archuleta/).
11
Source : Rick Gladstone, « Bangladesh Bank Chief Resigns After Cyber Theft of $81 Million » (Le gouverneur de la
Banque centrale démissionne après le vol de 81 millions de dollars par des cybercriminels), The New York Times,
15 mars 2016 (http://www.nytimes.com/2016/03/16/world/asia/bangladesh-bank-chief-resigns-after-cyber-theft-of-
81-million.html?_r=0).
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 13
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378POUR LES PROFESSIONNELS DE LA SÉCURITÉ ET DU RISQUE 3 août 2016
Règles d’engagement : appel à l’action pour automatiser la réponse aux violations de sécurité
Processus : manuel pratique sur l’architecture et les opérations de sécurité
12
Source : « Verizon Data Breach Investigations Reports » (Rapports d’enquête de Verizon sur les compromissions de
données) (http://www.verizonenterprise.com/DBIR/2015/).
13
D’un point de vue technologique, les entreprises ont besoin de quatre fonctions principales, ou piliers : 1) l’analyse des
logiciels malveillants ; 2) l’analyse et la visibilité du réseau ; 3) la visibilité et le contrôle des terminaux ; et 4) l’analyse
de la sécurité. Pour en savoir plus, consultez le rapport Forrester intitulé « Forrester’s Targeted-Attack Hierarchy Of
Needs: Assess Your Advanced Capabilities » (Hiérarchie des besoins en cas d’attaque ciblée : évaluez vos capacités
avancées).
14
Source : Enquête Business Technographics menée par Forrester sur la sécurité au niveau mondial, 2015.
15
Source : Ericka Chickowski, « Breach Stats: Improving From Abysmal To Just Awful » (Statistiques sur les violations
de données : une amélioration de résultats épouvantables à des résultats seulement médiocres), Dark Reading,
25 février 2016 (http://www.darkreading.com/threat-intelligence/breach-stats-improving-from-abysmal-to-just-awful/d/
d-id/1324445).
16
Source : « Once More Unto The Breach: What It Takes To Defeat Cyberattackers », (Encore une fois sur la brèche :
les mesures à prendre pour vaincre les cybercriminels), MIT Technology Review, 14 mars 2016 (https://www.
technologyreview.com/s/601004/once-more-unto-the-breach-what-it-takes-to-defeat-cyberattackers/).
17
Source : Brian Prince, « Incident Response Plans Lacking in Many Organizations: Survey » (De nombreuses
entreprises ne disposent pas de plan de réponse aux incidents :enquête), Security Week, 18 septembre 2014 (http://
www.securityweek.com/incident-response-plans-lacking-many-organizations-survey).
Source : « The Battle Continues — Working to Bridge the Data Security Chasm » (Le combat continue : combler le
fossé en matière de sécurité des données), Proviti (http://www.protiviti.com/en-US/Documents/Surveys/2015-IT-
Security-Privacy-Survey-Protiviti.pdf).
18
Source : Bruce Schneier, Secrets and Lies: Digital Security In A Networked World (Secrets et mensonges : Sécurité
numérique dans un monde en réseau), Wiley Publishing, 2011.
19
Et à juste titre ! La protection des données des clients, comme les numéros de carte de crédit, les identifiants
de connexion et les autres informations d’identification personnelle, représente l’une des priorités absolues des
responsables de la sécurité et du risque et des dirigeants d’entreprises. Et face à un panel de menaces en évolution
constante, les responsables de la sécurité et du risque doivent adapter leurs stratégies de gestion du risque à la
prochaine étape : le vol de propriété intellectuelle. Forrester examine les moyens courants auxquels les cybercriminels
font appel aujourd’hui pour voler des données aux entreprises, le coût d’une violation de données et les mesures que
les entreprises doivent prendre pour améliorer la cybersécurité et protéger leurs données précieuses. Pour en savoir
plus, consultez le rapport Forrester intitulé « The Cybercriminal’s Prize: Your Customer Data And Intellectual Property »
(La récompense du cybercriminel : vos données clients et votre propriété intellectuelle).
20
La défense des données est le rôle fondamental de la sécurité des informations. Forrester a élaboré un rapport visant
à aider les responsables de la sécurité et du risque à mettre au point des politiques efficaces en s’appuyant sur notre
structure de contrôle et de sécurité des données. Pour en savoir plus, consultez le rapport Forrester intitulé « Know
Your Data To Create Actionable Policy » (Connaître ses données pour créer une politique exploitable).
21
Forrester examine les quatre technologies qui doivent constituer les piliers de vos capacités de détection des
violations de données : analyse des logiciels malveillants, analyse et visibilité du réseau, visibilité et contrôle des
terminaux, et analyse de la sécurité. Pour plus d’informations sur la détection des violations de données et la réponse
à celles-ci, consultez le rapport Forrester intitulé « Forrester’s Targeted-Attack Hierarchy Of Needs: Assess Your
Advanced Capabilities » (Hiérarchie des besoins en cas d’attaque ciblée : évaluez vos capacités avancées).
22
Source : Enquête Business Technographics menée par Forrester sur la sécurité au niveau mondial, 2015.
© 2016 Forrester Research, Inc. La copie ou la diffusion non autorisée constitue une violation de la loi sur les 14
droits d’auteur.
Citations@forrester.com ou +1 866-367-7378Vous pouvez aussi lire
