Aujourd'hui nous lançons notre nouvelle rubrique Make it real qui vise à fournir un guide pratique de mise en oeuvre d'une mesure de sécurité ou d'une exigence particulière issue des principaux référentiels de sécurité.
Pour cette première édition allons nous concentrer sur une mesure phare de la nouvelle version de la norme ISO27001:2022 à savoir : Le renseignement sur les menaces (A.5.7).
Penchons nous sur l'intitulé de cette mesure : "Il convient de collecter et d’analyser les informations relatives aux menaces de sécurité de l'information pour produire les renseignements sur les menaces." dans le genre pas très clair on est bien non? 😇
Pour nous aider, nous allons prendre l'exemple d'une société lambda que nous appellerons Stroop. Stroop est une jeune société technologique éditrice de logiciel SaaS dans le domaine des RH et qui compte une trentaine de collaborateurs (HR tech tu connais). Leur plateforme est hébergée sur une architecture cloud classique et accessible en web et en API. Leur stack technique là encore est assez standard, front back, CI/CD un peu de scan de vulnérabilité sur les dépendances bref du très classique.
Etape 1 - La collecte et l'analyse
Pour Stroop (comme pour les autres), l'implémentation d'une stratégie de renseignement sur les menaces cyber se traduira par la mise en place d'un système de collecte et d'analyse d'informations qui permettra de détecter et de comprendre les risques potentiels pour leur infrastructure informatique.
La première étape consiste à identifier où et comment les informations pertinentes peuvent être recueillies.
Pour Stroop, cela pourrait signifier :
Surveillance automatisée : Mettre en place des outils de surveillance qui scannent en continu les forums de cybercriminalité, le dark/deep web, les rapports de failles de sécurité et les bases de données de vulnérabilités, pour avertir l'entreprise des menaces émergentes qui pourraient cibler les technologies qu'elle utilise.
Alertes de sécurité : S'abonner à des bulletins d'alerte de sécurité spécifiques à leur secteur. Les sources peuvent être multiples, mais citons par exemple
Bulletins de sécurité d'éditeurs de logiciels et de matériels : Les principaux éditeurs et fabricants de hardware publient régulièrement des bulletins de sécurité concernant leurs produits.
Alertes et bulletins des agences gouvernementales : l'ANSSI , le CISA, NCSC ,CERT(s), BSI (Allemagne), ACSC, CCCS seront autant d'alliés précieux et publient régulièrement des alertes de sécurité.q
Rapports d'instituts de recherche en sécurité : Des instituts comme Symantec, McAfee, Kaspersky, Fireye, IBM X-Force publient des rapports périodiques sur les tendances en matière de menaces cybernétiques.
Groupes d'échange d'informations sur la sécurité (ISACs) : Ces groupes permettent à des entreprises d'un même secteur d'échanger des informations sur les menaces et les meilleures pratiques en matière de sécurité.
Forums et communautés en ligne de sécurité informatique : Des plateformes comme Reddit, StackExchange, et des forums spécialisés où les professionnels de la sécurité discutent des dernières menaces et partagent des conseils.
Collaboration externe : Participer à des groupes d'échange d'informations sur la sécurité (ISACs) où des entreprises du même secteur partagent des renseignements sur les menaces et les meilleures pratiques.
Une fois les informations collectées , elles doivent être analysées pour déterminer leur pertinence (et traiter les redondances!). Par exemple, si une nouvelle faille est découverte dans une technologie largement utilisée dans l'architecture technique de l'organisation, Stroop devra évaluer si ses produits ou son infrastructure sont affectés et, le cas échéant, mesurer l'urgence d'une mise à jour de sécurité.
Etape 2 - Catégorisation des renseignements sur les menaces
Il n'est, pour l'instant, pas encore question de patcher vos machines ou systèmes comme des dingues, il sera d'abord nécessaire d'évaluer le degré d'urgence (surface exposée), le degré d'impact (sensibilité des assets exposés), probabilité d'occurence (facilité d'exécution). Pour ce faire, Stroop pourra utiliser une échelle (par exemple celle de l'analyse des risques) pour servir de cadre à l'analyse. Attention : pensez à bien documenter le résultat de votre analyse pour constituer un élément de preuve et enrichir votre base de connaissance interne !
💡Le petit + : ll pourrait être pertinent à ce stade de rédiger un bulletin de sécurité à publier sur une plateforme de gestion documentaire (type Notion ou Confluence) pour avertir la communauté (salariés, partenaires, parties intéressées) de l'existence d'une nouvelle menace en cours d'investigation. Cela aura pour effet d'augmenter la vigilance de tout un chacun et de participer à la culture de sécurité dans l'entreprise.
Première étape de notre démarche d'analyse : la catégorisation.
On pourrait les décliner en 3 catégories :
Stratégiques
Ces renseignements englobent les informations de haut niveau concernant les tendances globales en matière de cybermenaces. Prenons l'exemple d'un rapport annuel sur la cybersécurité qui indique une hausse des attaques de phishing ciblant les entreprises technologiques. Stroop, pourrait utiliser ce renseignement pour sensibiliser ses employés et réviser ses politiques de sécurité, préparant ainsi l'entreprise à se défendre contre ces types d'attaques.
Tactiques
À ce niveau, Stroop se concentrerait sur les méthodes utilisées par les cybercriminels. Imaginons qu'une vulnérabilité spécifique ait été découverte dans un composant logiciel utilisé par l'organisation. Les renseignements tactiques permettraient à l'équipe de Stroop de comprendre comment cette vulnérabilité pourrait être exploitée et de prendre des mesures pour la corriger avant qu'une attaque ne se produise.
Techniques
Ces renseignements sont très détaillés et techniques, comme une signature de virus ou la méthode exacte utilisée pour exploiter une faille. Si un nouveau type de malware est détecté par la communauté de la sécurité informatique et que Stroop reconnaît la signature de ce malware sur ses systèmes, l'entreprise peut alors réagir immédiatement pour isoler et éliminer la menace.
La clé est de comprendre que ces trois couches de renseignements ne sont pas isolées ; elles se complètent. C'est comme un médecin qui a besoin de connaître les symptômes d'une maladie (stratégiques), la manière dont elle se propage (tactiques) et les traitements spécifiques à administrer (techniques).
Dans la pratique, cela signifie que Stroop doit non seulement être à l'écoute de l'évolution des menaces à un niveau macro, mais aussi rester attentif aux détails techniques qui pourraient avoir un impact direct sur ses opérations. Cela implique de former des employés spécialisés ou de s'associer à des experts en sécurité externes qui peuvent aider à interpréter les renseignements de manière à informer les décisions de sécurité.
La catégorisation des renseignements sur les menaces est un processus dynamique qui nécessite un équilibre entre la vision stratégique de la sécurité de l'information et la capacité à agir rapidement et de manière informée face aux menaces spécifiques. C'est une tâche exigeante mais essentielle pour maintenir la sécurité des actifs numériques de l'entreprise.
Étape 3 - Pertinence, contextualisation.
À présent que vous avez fait le tri, l'important sera de projeter cette menace dans votre organisation. La contextualisation implique d'interpréter les renseignements sur les menaces à la lumière des spécificités de Stroop. Cela signifie comprendre non seulement la nature des menaces mais aussi leur pertinence pour l'environnement spécifique de l'entreprise. Par exemple, si une nouvelle vulnérabilité est identifiée dans un logiciel largement utilisé, Stroop évalue l'impact potentiel sur ses systèmes et détermine la criticité de la menace en fonction de ses propres utilisations du logiciel.
Pertinence : Stroop doit filtrer les informations pour ne retenir que celles qui sont réellement pertinentes pour son activité. Par exemple, une menace visant spécifiquement les plateformes de commerce électronique pourrait être moins pertinente pour une entreprise axée sur le développement d'applications mobiles.
Contextualisation : Mettons que Stroop apprenne qu'une nouvelle faille de sécurité a été découverte dans un framework populaire qu'elle utilise. Le renseignement brut - la découverte de la faille - doit être contextualisé : Comment cela affecte-t-il ses produits spécifiques ? Y a-t-il déjà eu des exploits rapportés ? La contextualisation permet de comprendre non seulement ce qu'est la menace, mais aussi son impact potentiel et immédiat sur l'entreprise.
La pertinence et la contextualisation des renseignements sur les menaces ne sont pas seulement une question de collecte d'informations ; il s'agit de filtrer, d'analyser et d'agir sur ces informations de manière à protéger efficacement l'entreprise. En fin de compte, c'est cette capacité à interpréter et à agir sur les renseignements qui renforcera la posture globale de sécurité de Stroop.
Étape 4 - Actions sur les renseignements
Une fois les renseignements contextualisés, Stroop doit (peut être) passer à l'action. Voici comment l'entreprise pourrait s'organiser :
Mise à Jour et Patch des Systèmes :
Évaluation des Patchs : Lorsque de nouvelles mises à jour ou patchs sont disponibles, Stroop évalue leur pertinence pour ses systèmes. Cette évaluation prend en compte la criticité des vulnérabilités et la compatibilité avec l'infrastructure existante.
Planification du Déploiement : Les mises à jour critiques sont planifiées et déployées rapidement, tandis que pour les moins critiques, Stroop peut opter pour des tests préalables pour s'assurer qu'elles n'affectent pas négativement les opérations.
La vigilance à long terme
Après avoir traité le renseignement, l'opération n'est pas encore terminée. Voici quelques actions complémentaires pour renforcer la pertinence de votre implémentation.
Tests de Sécurité Réguliers
Tests de Pénétration et Audits de Sécurité : Stroop organise des tests de pénétration réguliers et des audits de sécurité pour évaluer l'efficacité de ses mesures de protection et identifier les zones vulnérables. Par exemple Stroop demande spécifiquement au pentester de tester des vulnérabilités récemment détectée.
Formation et Sensibilisation du Personnel
Mises à Jour sur les Menaces : Stroop s'assure que son personnel est régulièrement informé des dernières menaces et formé sur les bonnes pratiques de cybersécurité. Attention la sensibilisation peut aussi passer par des tests (faux phishing par ex.)
Réponse aux Incidents
Plans de Réponse Prédéfinis : En cas d'incident, Stroop active ses plans de réponse aux incidents qui auront été mis à jour ou crée suite à l'identification d'une l. Ces plans détaillent les étapes à suivre pour contenir, éradiquer et récupérer d'une violation de sécurité.
Collaboration et Partage d'Informations
Échanges avec des Tiers : Stroop collabore avec d'autres entreprises et organisations de cybersécurité pour partager des renseignements et des meilleures pratiques.
CONCLUSION
En conclusion de notre exploration de la gestion du renseignement sur les menaces chez Stroop, il est essentiel de reconnaître que cette démarche collaborative favorise grandement l'enrichissement des connaissances et enrichit la communauté. En rassemblant des informations diversifiées et en les contextualisant avec précision, Stroop peut non seulement réagir de manière plus informée aux menaces émergentes, aider les autres organisations à se préparer.
Cependant, il est crucial de souligner que cette discipline ne doit pas rester confinée à un cercle d'experts. La vulgarisation de ces concepts et pratiques est fondamentale pour une compréhension et une participation plus larges au sein de l'organisation. Chaque employé, quel que soit son rôle, devrait avoir une compréhension de base de la cybersécurité et de son impact sur leur travail quotidien. Cela implique de rendre les informations accessibles et compréhensibles, transformant ainsi la cybersécurité en une responsabilité partagée.
Cette approche ouvre également la voie à des questionnements plus profonds sur les limites de cette méthode. Comment équilibrer la nécessité de rester vigilant face aux menaces tout en préservant les valeurs éthiques telles que le respect de la vie privée et la liberté individuelle ? Jusqu'où pouvons-nous aller dans la collecte d'informations sans franchir la ligne de la surveillance intrusive ? Et comment pouvons-nous nous assurer que la technologie et les données, bien que cruciales dans notre lutte contre les cybermenaces, ne deviennent pas des outils de pouvoir disproportionné ?