Les 5 lois de la cybersécurité pour protéger son entreprise


Il faut bien comprendre que la cybersécurité est un domaine complexe, et tout moyen de simplifier ses nombreux aspects en maximes courtes et faciles à retenir est toujours le bienvenu. Les cinq lois constituent un très bon point de départ pour développer un programme de sécurité solide pour son entreprise. Ces lois sont les suivantes :

  • Traitez tout comme si c’était vulnérable
  • Supposez que les gens ne respectent pas les règles.
  • Si vous n’avez pas besoin de quelque chose, débarrassez-vous-en.
  • Documentez tout et procédez à des audits réguliers.
  • Prévoyez l’échec.

Bien entendu, le respect de règles réelles n’est pas nécessairement synonyme de sécurité, mais ces « lois » générales sur la cybersécurité constituent une référence utile. Toutefois, comme pour les véritables réglementations, une certaine profondeur et un certain contexte peuvent apporter une valeur significative. Dans certains cas, l’origine de ces lois non officielles peut alimenter un débat animé, même chez le praticien le plus convaincu de la cybersécurité.

Traitez tout comme si c’était vulnérable

La première règle de la cybersécurité consiste à tout traiter comme s’il était vulnérable car, bien entendu, tout est vulnérable. Tous les cours de gestion des risques, les examens de certification en matière de sécurité et les audits insistent sur le fait qu’il n’existe pas de système 100 % sûr. On peut dire que tout le domaine de la cybersécurité est fondé sur ce principe.

Étant donné que de nombreuses entreprises ne parviennent pas à satisfaire pleinement à cette norme, l’essor de la sécurité de confiance zéro est devenu la nouvelle référence en matière de pratiques matures de cybersécurité. La confiance zéro, par sa conception, refuse l’accès à tout sans vérifier son autorité. Cela ressemble à ce que vous pouvez voir dans un film d’espionnage, où l’accès à toutes les pièces nécessite une autorisation. La confiance zéro va encore plus loin, en revérifiant cette autorisation à différentes étapes d’une session. La gestion de l’accès aux identités pour les utilisateurs et les dispositifs, ainsi que des étapes telles que la vérification des mises à jour, constituent la base d’un environnement de confiance zéro. Aucun dispositif, programme ou utilisateur ne doit avoir accès à quoi que ce soit sans vérification et revalidation.

Supposer que les gens ne suivront pas les règles

Je préfère reformuler cette règle en disant « Les gens peuvent contourner les règles », car sa formulation originale est trop accusatrice. Cet état d’esprit de contournement des règles en matière d’informatique remonte aux premiers cercles de « hackers », qui ont vu le jour au MIT Model Railroad Club. Étant donné qu’il est souvent difficile de se conformer à certains protocoles de sécurité, les employés peuvent trouver des moyens de contourner ces protections, ce qui entraîne des vulnérabilités.

Les statistiques confirment ce principe, puisque 94 % des organisations américaines et britanniques subiront des violations de données par des initiés en 2023. De même, 84 % des responsables informatiques citent l’erreur humaine comme la cause la plus fréquente d’incidents graves. Les attaques par ingénierie sociale étant de plus en plus courantes, cette règle est devenue de plus en plus pertinente. Les mesures anti-hameçonnage, les exigences en matière de mots de passe et les règles similaires ne sont efficaces que si les gens les suivent.

Les entreprises doivent aller au-delà de la mise en œuvre de politiques de cybersécurité plus strictes. Cela signifie qu’elles doivent faire appliquer ces règles tout en facilitant leur respect à l’aide d’outils tels que les gestionnaires de mots de passe. Toutefois, comme l’indique cette loi particulière, les professionnels de la sécurité doivent comprendre que des contrôles techniques sont également nécessaires pour renforcer la sécurité. Les restrictions d’accès et autres protections similaires sont nécessaires pour limiter les violations commises par des initiés.

Si vous n’en avez pas besoin, débarrassez-vous en

La troisième loi de la cybersécurité, popularisée à l’origine comme l’une des 3 règles de sécurité en ligne de Brian Krebs, vise à minimiser les surfaces d’attaque et à maximiser la visibilité. Si Krebs ne faisait référence qu’aux logiciels installés, l’idéologie qui sous-tend cette règle s’est étendue. Par exemple, de nombreuses entreprises conservent des données, des systèmes et des appareils qu’elles n’utilisent plus ou dont elles n’ont plus besoin, en particulier lorsqu’elles évoluent, se mettent à niveau ou se développent. C’est comme cette vieille paire d’espadrilles usées qui traîne dans un placard. Cet excès peut présenter des vulnérabilités inutiles, comme un exploit vieux de plusieurs décennies découvert dans certains logiciels open source.

La plupart des entreprises n’ont qu’une visibilité d’environ 75 % sur leurs opérations de télétravail. Conserver des actifs redondants ou non pertinents empêche une visibilité à 100 %. Si elles se débarrassaient des anciens systèmes et des anciennes données, elles pourraient avoir une meilleure vision de leurs opérations, ce qui pourrait accélérer la détection des vulnérabilités et des violations.

Tout documenter et auditer régulièrement

Cette règle est en fait deux règles en une. L’optimisation de la visibilité et la découverte des vulnérabilités passent en partie par un audit interne régulier et cohérent. Pour la plupart des professionnels de la sécurité, un audit est un processus fastidieux et pénible.

Malheureusement, trop d’entreprises n’y parviennent toujours pas, ce qui fait des audits un élément indispensable de la cybersécurité. Par exemple, certains attaquants contrôlent les machines de leurs victimes pendant des mois ou des années avant que quiconque ne s’en aperçoive en raison de processus de journalisation insuffisants. Le processus d’audit devrait inclure non seulement des examens de la configuration, mais aussi des tests actifs pour vérifier les vulnérabilités non atténuées ou nouvelles.

La documentation, souvent présentée comme l’une des tâches les plus ardues de la cybersécurité, est essentielle, tant pour le personnel actuel que pour la planification de la relève. Trop souvent, les ingénieurs sont pressés de mettre un système en service et de le faire fonctionner, laissant la documentation comme un événement « après coup ».

Malheureusement, cet événement ne se produit jamais, car le travail quotidien dépasse le temps nécessaire pour documenter avec précision chaque composant d’un système complexe. La gestion du changement relève également de cet élément. Plus les entreprises enregistrent, plus il est facile de suivre et de corriger les activités suspectes et de mettre en œuvre de nouveaux systèmes.

Prévoir l’échec

La dernière loi de la cybersécurité stipule que les organisations doivent se préparer au pire. C’est peut-être plus vrai que jamais, étant donné la rapidité avec laquelle la cybercriminalité évolue. Les risques d’une exploitation de type « jour zéro » sont trop élevés pour que les entreprises puissent supposer qu’elles ne seront jamais victimes d’une violation. Heureusement, la mentalité apocalyptique qui était autrefois véhiculée par le trope « deux types d’organisations. » a été remplacée par un esprit de résilience.

Tout cela indique que les organisations doivent adopter de solides mesures préventives, ainsi que des plans de récupération détaillés. Le coût moyen d’une attaque par ransomware est sept fois plus élevé que la rançon elle-même, de sorte qu’il vaut mieux prévenir que guérir. Les entreprises doivent trouver un équilibre entre les deux pour s’assurer qu’elles sont aussi sûres que possible.

Les sauvegardes et les plans d’intervention d’urgence doivent faire partie intégrante des pratiques de sécurité de chaque entreprise. Toutefois, il est important de s’assurer qu’il s’agit bien de plans de secours et que les entreprises ne lésinent pas sur leurs défenses périmétriques.

Les 5 lois de la cybersécurité ne sont pas une liste exhaustive

On peut se demander pourquoi il est nécessaire de reformuler et de reconsidérer ces cinq règles. Tout d’abord, les cinq lois de la cybersécurité restent plus pertinentes que jamais. En outre, il est important de reconnaître que la cybersécurité n’est jamais une activité statique ou une activité « à cocher ». Les organisations doivent continuellement et soigneusement examiner et appliquer ces pratiques.

La cybercriminalité évolue en permanence et les risques sont trop importants pour négliger les vulnérabilités potentielles. Ces cinq lignes directrices sont précisément cela : des lignes directrices. Si elles nous rappellent ce que doit comprendre un plan de sécurité fiable, les organisations doivent se souvenir des détails les plus subtils et les mettre en œuvre pour rester en sécurité.


LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

More from Author

Pourquoi les sociétés immobilières attirent de plus en plus d’investisseurs ?

Le secteur immobilier est en pleine mutation, et les sociétés immobilières...

- A word from our sponsors -

spot_img

Read Now

Les bienfaits des compléments naturels pour booster votre énergie

La fatigue et le manque d’énergie sont des problèmes courants qui impactent notre quotidien. Entre le stress, le manque de sommeil, une alimentation déséquilibrée et les obligations professionnelles, il est parfois difficile de maintenir une bonne vitalité. Heureusement, les compléments naturels peuvent être une solution efficace pour...

Adrénaline et Détente à Super Besse : Entre Tyrolienne Géante, Super Coaster et Animations au Lac des Hermines

Super Besse : Sensations, Évasion et Aventures au Cœur du Sancy Nichée à 1 350 mètres d’altitude, au pied du Puy de Sancy, Super Besse est une station dynamique où les amateurs de sensations fortes, les passionnés de nature et les familles en quête d’évasion trouvent leur bonheur....

Pourquoi les sociétés immobilières attirent de plus en plus d’investisseurs ?

Le secteur immobilier est en pleine mutation, et les sociétés immobilières jouent un rôle central dans cette transformation. Face à une demande croissante de logements, une réglementation évolutive et des attentes de plus en plus précises de la part des locataires et investisseurs, ces entreprises apparaissent comme...

Boutique spécialiste des cadeaux originaux pour toutes les occasions

Offrir un cadeau à un proche témoigne de son affection et de son attention envers celui-ci, renforçant ainsi les liens et les sentiments positifs entre eux. Mieux, un cadeau bien choisi peut apporter du bonheur et de la joie à celui qui le reçoit, lui procurant ainsi...

Quel sac à langer choisir ? Guide pratique pour jeunes parents

Lorsqu’on devient parent, on réalise vite à quel point il est indispensable d’avoir un sac à langer bien conçu. Entre les couches, biberons, lingettes, vêtements de rechange et autres accessoires, sortir avec bébé demande un minimum d’organisation. Un bon sac à langer doit être pratique, spacieux et...

Quel tapis acheter pour faire à la fois du yoga du pilates et du fitness ?

Choisir un tapis de sport polyvalent adapté au yoga, au pilates et au fitness peut sembler complexe. Cependant, la marque française Yogom propose une gamme de tapis écoresponsables répondant aux exigences de ces trois disciplines. 1. L'épaisseur : un équilibre entre confort et stabilité L'épaisseur du tapis influence le...

Quand partir en Irlande pour la pêche du brochet : saisons et conditions idéales

L’Irlande est une destination de rêve pour les passionnés de pêche au brochet. Avec ses lacs immenses, rivières sauvages et paysages préservés, l’île verte offre des conditions exceptionnelles pour traquer ce prédateur emblématique. Mais pour maximiser ses chances de capture, encore faut-il choisir la bonne période. 1. La...

Découvrez les meilleures locations de vacances à Crans-Montana

Crans-Montana, perle du Valais Suisse, attire chaque année des milliers de visiteurs grâce à son charme alpin, ses activités variées et son ambiance raffinée. Nichée dans ce cadre idyllique, l'agence ImmoCrans se positionne comme un leader dans la location immobilière de vacances. Avec un portefeuille diversifié et...

Le Vaubarlet, un camping 4 Étoiles au cœur de la Haute-Loire 

Le camping Le Vaubarlet est idéalement situé dans une vallée verdoyante de la Haute-Loire. C’est un coin parfait pour les amoureux de la nature et les adeptes de vacances reposantes. Classé 4 étoiles, cet établissement allie confort et convivialité, tout en mettant en avant un respect profond...

Découvrez les services proposés par Estelle Canevet

Estelle Canevet est une professionnelle expérimentée qui propose des services d’accompagnement par l’hypnose, adaptés aux besoins variés des adultes et des enfants dès l’âge de 10 ans. L’hypnose, reconnue pour ses effets positifs sur le bien-être mental et physique, permet d’aborder en douceur des problématiques diverses. En...

Consultations, rituels et talismans : plongée dans l’univers du maraboutisme

Le maraboutisme est un univers fascinant mêlant croyances, pratiques spirituelles et rituels destinés à influencer le cours des événements. Présent principalement en Afrique de l’Ouest, mais également dans certaines communautés en Europe et en Amérique, ce phénomène repose sur la figure centrale du marabout, un guide spirituel...

Edupulse – Expert de l’accompagnement scolaire et du coaching Parcoursup

Avec près de 10 ans d'expérience, Edupulse est une société éducative reconnue pour son expertise en accompagnement scolaire et en orientation professionnelle, aidant des centaines de lycéens et d’étudiants à bâtir leur projet d'avenir. Nous proposons un suivi personnalisé pour aider les jeunes à choisir leurs spécialités...