Quatre paramètres essentiels pour clarifier sa vision de la sécurité
La sécurité gagne en visibilité, ses responsables dans l'entreprise étant de plus en plus invités à fournir des indicateurs pour suivre son état réel. Mais la direction reste encore éloignée de ces chiffres et se concentre trop sur la prévention et pas assez sur l'atténuation.
Certains paramètres de sécurité sont plus utiles que d'autres. Par exemple, le coût moyen des réponses à un incident, ou le nombre d'attaques arrêtées par un pare-feu, semblent intéressantes pour un non spécialiste de la sécurité, mais ne font guère avancer les pro-grammes de sécurité de l'entreprise. Les experts recommandent plutôt de mettre l'accent sur les mesures qui influencent le comportement ou la stratégie de changement. Nous avons sélectionné quatre paramètres.
1 / Les niveaux de participation au programme
Une métrique sur la participation au programme de sécurité permet de vérifier sa couverture au sein de l'entreprise. Elle peut mesurer le nombre d'entités effectuant régulièrement des tests de pénétration ou combien de terminaux sont actuellement mis à jour par des systèmes automatisés de mise en place de patch. Selon Caroline Wong, de Cigital, cette information de base aide les entreprises à évaluer les niveaux d'adoption et de contrôle de sécurité interne ou d'identifier les lacunes potentielles.
Par exemple, ce serait bien d'être capable de dire si une entreprise a 100 % de ses systèmes patchés, le mois où justement de nouvelles mises à jour sont disponibles. Mais un tel objectif n'est pas réaliste, car patcher peut introduire des risques opérationnels sur certains sys-tèmes. Regarder le niveau de participation permet justement d'exclure des systèmes qui ne sont pas visés par les règles normales de mise en place des patchs et de mettre l'accent sur ceux qui doivent être patchés.
2 / La durée des attaques
Le temps de présence d'un attaquant dans le réseau, fournit également de précieuses in-formations sur la durée des attaques, permettant aux professionnels de la sécurité de se préparer à leur arrivée, d'appréhender leur contenu, la manière de contrôler les menaces et de minimiser les dommages. Des enquêtes ont montré que les attaquants passent plusieurs mois en moyenne à l'intérieur du réseau d'une entreprise avant d'être découverts. Ils occupent ce temps à connaître l'infrastructure, à réaliser des reconnaissances, à se déplacer autour du réseau et à voler des informations.
L'objectif devrait être de réduire autant que possible le temps de séjour, de sorte que l'atta-quant ait moins de chances de se déplacer dans le réseau interne et de supprimer des don-nées critiques. Connaître le temps de séjour permet aux équipes de sécurité de mieux ap-préhender comment gérer l'atténuation de la vulnérabilité et la réponse aux incidents.
3 / La densité de défauts dans le code
Une métrique sur le nombre de problèmes rencontrés, leur densité, dans les milliers ou mil-lions de lignes de code utilisées, aide les entreprises à évaluer les pratiques de sécurité en cours parmi leurs équipes de développement. Toutefois, le contexte est clé. Si une applica-tion est à un stade précoce de développement, cela signifie une forte densité de défauts. Tous les problèmes sont détectés et c'est bien ainsi. Autre cas de figure, si une application est en mode de maintenance, la densité de défauts devrait être inférieure et tendre à la baisse, l'application devenant plus sûr au fil du temps. Si ce n'est pas le cas, il y a un problème.
4 / La fenêtre d'exposition
Une entreprise peut identifier les défauts dans une application, mais jusqu'à ce stade, celle-ci reste vulnérable. Mesurer ce laps de temps, cette fenêtre d'exposition, le nombre de jours dans une année où une application reste vulnérable, est important. « Le but est d'avoir zéro jour dans une année où de graves défauts seront découverts », précise Caroline Wong.
Les paramètres en trompe l'oeil
Ne nous voilons pas la face, en dehors de ces quatre métriques, d'autres existent, mais peu-vent se révéler trompeuses. Les directions d'entreprise aiment à se concentrer sur la prévention des incidents de sécurité, c'est en partie la conséquence de la notion d'existant, les entreprises veulent connaître toutes les attaques arrêtées dans leur périmètre. Elles se sentent à l'aise avec des métriques sur le nombre de tentatives d'intrusion qui ont été bloquées, mais ça n'aide pas beaucoup les équipes de sécurité.
Les temps de réponse, donc la rapidité avec laquelle le problème a été trouvé et atténué est une autre mesure qui se révèle tout sauf utile. Le temps de réponse ne tient pas compte du fait que les attaquants ont tendance à se déplacer à travers le réseau. Vous pouvez toujours identifier un problème, mais si personne ne sait déterminer ce que l'attaquant a pu faire, un autre système peut très bien avoir été compromis par ce même attaquant et passer inaperçu. Ne pas mettre l'accent sur la sécurité dans son ensemble laisse certains environnements très vulnérables.
Seulement 28 % des cadres dirigeants interrogés dans un récent sondage Raytheon / Web-sense ont estimé les mesures de sécurité utilisées dans leurs entreprises « complètement efficaces », contre 65% qui les jugent « assez efficaces ». Les professionnels de la sécurité doivent expliquer à leur direction la nécessité de se concentrer sur la manière dont les questions de sécurité peuvent aider à atteindre des objectifs bien définis. Sinon, leur attention est gâchée par des informations qui n'amènent pas de réduction des risques ou d'amélioration de la sécurité.
En illustration : La sécurité des entreprises repose sur des indicateurs, liés aux comportements interne et destinés aux directions.