Traiter la sécurité des identités comme un investissement commercial
Les décisions en matière de sécurité affectent directement les employés, les clients, les actionnaires et la continuité des activités. À mesure que le rôle du responsable de la sécurité de l'information (RSSI) évolue de leader technologique à chef d'entreprise, il doit de plus en plus combler le fossé entre les objectifs commerciaux et les risques de sécurité, et traduire la sécurité en résultats mesurables. Dans cet article, nous examinerons cette question du point de vue de sécurité d'identité.
Table des matières
Le paradoxe du RSSI : la cybersécurité est parfois plus commerciale que la cybersécurité
Comme pour toute décision commerciale, la cybersécurité est une question de gestion des risques : la réduction potentielle des risques que vous obtenez en investissant dans la cybersécurité par rapport aux coûts entraînés par la réalisation de ces investissements. Tout comme l’allocation de ressources à tout autre besoin organisationnel, investir dans la cybersécurité va au-delà de l’achat des bons outils. Cela a un impact sur la continuité des activités, les employés, les clients, les actionnaires et bien d’autres.
Le problème est que les dirigeants d’entreprise ne considèrent généralement pas la cybersécurité comme une décision commerciale, en grande partie parce que le rôle du RSSI a évolué et que les organisations sont encore en train de s’adapter. Les RSSI sont désormais plus des chefs d’entreprise que des leaders technologiques, mais ce concept n’a pas encore été pleinement compris et mis en œuvre.
Cela crée une tâche complexe pour le RSSI. Leurs architectes en sécurité de l’information parlent en termes de solutions, tandis que leurs dirigeants parlent en termes de résultats commerciaux. Équilibrer ces deux éléments et traduire l’un dans l’autre nécessite de grands efforts et une plus grande autorité. Pour prendre une décision commerciale calculée, il est utile d'appliquer la formule suivante :
- Risque actuel : Évaluation de la surface d'attaque de l'organisation, des pertes financières en cas de violation, de l'impact des temps d'arrêt sur chaque division, de la probabilité d'être violé, des statistiques publiées sur la coût d'une violation, etc.
- Risque réduit attendu : Estimation du risque suite à la mise en œuvre du plan de sécurité proposé, incluant la réduction surface d'attaque, diminution des primes d'assurance, etc.
- Coût d'investissement: Le coût total de mise en œuvre du plan de sécurité suggéré, y compris l'achat d'outils et la formation.
Le prix est ce que vous payez, la valeur est ce que vous obtenez : quel est le coût réel de la sécurité des identités ?
Alors, comment l’équation ci-dessus traduit-elle la sécurité de l’identité en une décision commerciale ?
Selon le rapport The State of the Identity Attack Surface, 83 % des organisations ont été confrontées à une faille de sécurité impliquant des informations d'identification compromises.. La grande majorité des attaques de ransomware reposent sur mouvement latéral à diffuser à travers un réseau. En règle générale, le point d'entrée initial se fait via un compte d'utilisateur régulier compromis ou service Compte.
Explorons plus en détail le coût de la protection de ces éléments clés de la surface d'attaque de l'identité. Nous commencerons par discuter de MFA à titre d'exemple, puis nous discuterons privilégiés également.
MFA… mais à quel prix ?
Dans le cas de la MFA, les organisations peuvent disposer des deux options suivantes :
- Application de MFA uniquement pour les administrateurs : moins cher que MFA pour tous les utilisateurs mais pas empêcher le mouvement latéral cela implique des utilisateurs réguliers.
- Application de MFA pour tous les utilisateurs : plus cher mais offre une protection contre les mouvements latéraux impliquant des utilisateurs réguliers.
Dans chaque cas, le risque actuel est le même. Le RSSI peut illustrer les résultats de chaque option en mettant des chiffres réels dans l'équation et entamer une discussion axée sur l'entreprise :
La décision peut être l’une ou l’autre option, à condition qu’elle soit communiquée aux dirigeants et au conseil d’administration et démontrée par des résultats mesurables.
Comptes de service : quel est le coût d'être invisible ?
Avec les comptes de service, il est plus facile de traduire le risque en visibilité :
- Achat d'un sécurité du compte de service Solution: permet la découverte, la surveillance et le contrôle de tous les comptes de service. Cela peut fournir une visibilité complète, mais peut être coûteux.
- Faites-le manuellement, au moins partiellement : il est difficile de suivre tous les comptes de service. Bien que cela soit quelque peu réalisable dans les petites organisations, c’est une tâche presque impossible pour les grandes organisations. Les coûts varient, mais sont généralement beaucoup moins chers que l’investissement dans une solution de sécurité.
- Ne rien faire du tout : la visibilité reste la même, le risque actuel reste le même.
Le nombre d'organisations avec la visibilité complète sur leurs comptes de service n'est que de 5.7 %. Pourtant, de nombreuses violations de données très médiatisées ces dernières années ont impliqué l'utilisation et la compromission de ces identités non humaines, notamment SolarWinds, l'Office américain de gestion du personnel et Marriott.
Les organisations doivent examiner leur historique pour voir si des incidents passés se sont produits, si les comptes de service ont été utilisés à mauvais escient ou compromis, et comment ransomware les attaques ont touché d’autres organisations de leur secteur.
Chaque option présente des avantages et des inconvénients, et aucune option ne convient à toutes les organisations. Illustrer les résultats :
Réflexions finales : combler le fossé
Les RSSI jouent désormais un rôle clé dans la traduction des solutions de sécurité en décisions commerciales. Mais un grand pouvoir implique de grandes responsabilités, car des résultats mesurables en matière de sécurité facilitent non seulement une meilleure compréhension du débat, mais sont également cruciaux pour faire les bons choix.
Quels sont les bons choix ? Comme indiqué ci-dessus, il n’existe pas de réponse unique à cette question. L’essentiel est de traiter la cybersécurité comme n’importe quel autre investissement commercial : avec prudence, en connaissance de cause et en se basant sur des chiffres réels.