Cobalt, Lazarus, MageCart, Evil, Revil – les syndicats du cybercrime surgissent si vite qu’il est difficile de suivre. Jusqu’à ce qu’ils s’infiltrent ton système. Mais savez-vous ce qui est encore plus écrasant que la cybercriminalité rampante ?
Construire le cadre de sécurité de votre organisation.
CIS, NIST, PCI DSS, HIPAA, HITrust et la liste continue. Même si vous disposiez des ressources nécessaires pour mettre en œuvre toutes les normes et tous les contrôles pertinents de l’industrie, vous ne pouviez toujours pas empêcher votre entreprise d’être prise dans le prochain SolarWinds. Parce que la sécurité des manuels et la conformité des cases à cocher ne suffiront pas. Il faut être stratégique (surtout quand les effectifs sont limités !). Et maigre.
Apprenez les ficelles maintenant.
3 conseils de pro pour créer votre cadre de sécurité Lean
Sans cadre en place, soit vous naviguez dans l’univers des cyber-risques avec des oeillères, soit vous êtes si profondément enfoui dans les faux positifs que vous ne pouvez pas repérer une attaque complexe tant qu’elle n’a pas déjà progressé latéralement.
Mais pourquoi créer votre infrastructure de sécurité à partir de zéro, alors que vous pourriez voler une page (ou 3!) d’autres pros de l’espace ? Obtenez des conseils rapides de leur guide gratuit pour les équipes de sécurité informatique amorcées ci-dessous.
Conseil de pro 1 : Adaptez les normes de l’industrie à vos besoins
Votre première étape pour construire votre cadre de sécurité Lean ? Ne réinventez pas la roue !
Personnalisez les cadres et les normes de l’industrie en fonction des besoins uniques de votre organisation. Par exemple, posez vos bases avec le Center for Internet Security, CIS,’ Critical Security Controls, ou le National Institute of Standards and Technology, NIST’s, Cyber Security Framework.
Ensuite, commencez à poser vos briques de sécurité avec des normes spécifiques à l’industrie : l’industrie des cartes de paiement, les PCI, la norme de sécurité des données (DSS) si vous acceptez le paiement de biens ou de services avec des cartes de crédit ; ou la loi HIPAA (Health Insurance Portability and Accountability Act) si vous êtes dans le domaine de la santé ; etc.
Conseil de pro 2 : soyez à l’aise avec le risque
Les contrôles. Vous savez que vous en avez besoin, mais certains contrôles sont plus précieux que d’autres pour votre posture de sécurité. Pourquoi? Parce que certains ne valent tout simplement pas la dépense.
Par exemple, stocker les données personnelles de votre entreprise dans le cloud est risqué. Quelle est l’alternative ? Le loger sur place ? Cela coûte cher et comporte son propre ensemble de risques. Vous choisissez donc d’accepter le risque d’utiliser le cloud, n’est-ce pas ?
Vous voudrez peser la valeur de la mise en œuvre des différents contrôles dans vos quatre domaines clés de gestion des risques : menace ; technologie et intégration; Coût; et des fournisseurs tiers.
Astuce 3 : Adoptez les tendances et technologies émergentes
Il y a de fortes chances que vous ayez déjà migré vers le cloud comme la plupart des entreprises de mise à l’échelle, car c’est rentable. Ne vous limitez donc pas aux cadres et aux normes de l’industrie conçus uniquement pour les entreprises hébergeant l’intégralité de leurs piles technologiques sur site.
Utilisez la matrice de contrôle du cloud et le modèle de responsabilité partagée de Cloud Security Alliance. Sautez dans le train en marche Zero-Trust. Intégrez votre pile technologique avec un XDR. Externalisez la surveillance et la réponse aux menaces à un MSP, MSSP ou MDR. Transférez une partie de vos risques à un fournisseur d’assurance cloud.
L’essentiel
Vous disposez de suffisamment d’options pour créer un cadre de sécurité à l’abri des risques. L’astuce consiste à choisir judicieusement.
Si vous avez trouvé ces 3 conseils utiles — télécharger le guide gratuit de Cynet« Comment créer un cadre de sécurité si vous êtes une équipe de sécurité informatique à court de ressources » pour en savoir plus.