The CISO and data: which organization to choose?

In cybersecurity, data is essential. Without it, it's impossible for the CISO to factualize his or her security position and know what posture to adopt! While HR and finance departments have their own information systems, cybersecurity is more often than not practised with the means at hand. To be effective, what data should be collected? How do you get it down to the field? Here's a methodological overview of the subject.

Share

Internal data collection by the CISO

Si le sujet des données s’avère aussi complexe en cybersécurité, c’est parce que leurs natures et leurs sources sont très hétérogènes. Il reste toutefois possible, dans les grandes lignes, de dégager quelques axes de réflexion.

 

Building your own foundation

  • "What information do I need?
  • "How can I get them?"

Ces deux questions sont sans nul doute celles que tout RSSI est amené à se poser pour pouvoir collecter de la donnée pertinente. L’exercice implique donc de :

  • se tourner vers les fondamentaux de la cybersécurité (l’annuaire de l’entreprise, les référentiels d’actifs…) ;
  • détecter les données spécifiques à aller capter, en reprenant la liste des périmètres à protéger et des sources qu’on y trouve (serveurs, applications, passerelles VPN…).

La data couvre ainsi de nombreux champs, en balayant aussi bien l’information sur les menaces que l’état de la sécurisation d’un lieu physique, ou encore la façon dont les indicateurs sont interconnectés.

Mais l’exercice ne s’arrête pas là ! Ou plutôt, il ne commence pas là : la première des choses à faire pour traiter correctement la donnée consiste, en partant de la base de connaissances disponible (référentiels, bonnes pratiques…) à se constituer son propre référentiel, en sélectionnant et compilant les exigences.

 

Miser sur le dialogue

On pense bien évidemment aux consoles et aux outils de détection de certains comportements (téléchargement d’outils inappropriés, navigation sur des sites non sécurisés…). Malheureusement, la technologie ne suffit pas ici, et ce pour les deux raisons.

Tout d’abord, la donnée issue des outils ne dit pas et ne dira jamais tout, certaines informations étant détenues uniquement par certaines personnes (collaborateurs, top management…).Parce que la collecte s’organise principalement « à la main », elle dépend ensuite largement de la bonne volonté des équipes censées contribuer, par exemple en remplissant des fichiers Excel.

La dimension humaine étant la difficulté principale, elle représente aussi une piste d’amélioration intéressante pour le RSSI. Quoi de plus efficace, en effet, que d’aller sur le terrain et d’échanger ?

Dans une usine par exemple, le responsable connaît parfaitement ses chaînes de production, mais ignore le plus souvent tout des risques. Le dialogue est donc un bon moyen de recueillir de la donnée intéressante à traiter : en s’appuyant sur la connaissance du fonctionnement de l’usine détenue par le responsable, le RSSI récolte de précieuses informations à la source et crée du lien pour pouvoir organiser la transmission des données.

 

CISOs must also take an interest in external data

La donnée, ce n’est pas que la donnée interne ! Pour évaluer son niveau de sécurité, encore faut-il que chaque RSSI puisse améliorer sa pratique professionnelle au contact de pairs et être informé des dernières menaces.

 

La veille et le réseau : des incontournables

Aujourd’hui, les occasions pour les RSSI de se rencontrer ne manquent pas. Le CESIN propose ainsi un congrès annuel ouvert à tous, en plus de réunions de travail trimestrielles et d’un groupe de discussion en ligne réservés aux adhérents. Le CLUSIF permet quant à lui de participer à des groupes de travail mensuels, mais aussi d’assister aux cinq conférences annuelles et aux publications.

Pour les RSSI ne souhaitant pas rejoindre un club, ils peuvent se rendre aux nombreux évènements organisés tout au long de l’année par des experts de la cybersécurité, tels que le FIC ou les Assises. Ils représentent un bon moyen de se tenir informé sur des sujets aussi cruciaux et divers que les nouvelles menaces, les bonnes pratiques, les derniers outils disponibles sur le marché, etc.

Globalement, toute source d’informations mérite d’être exploitée, y compris les webinaires ou blogs proposés par les cabinets de consultants ou éditeurs de logiciels spécialisés. À chaque RSSI de tester et de sélectionner les salons, associations et évènements susceptibles de lui apporter les informations dont il a le plus besoin !

 

Integrating Cyber Threat Intelligence

Selon le dernier baromètre de la cybersécurité des entreprises du CESIN, la Threat Intelligence se développe. En effet, 29 % des entreprises ont intégré un dispositif de CTI pour faire face à la vague de cybercriminalité dominée par le ransomware de 2020.

Vers quels outils se tourner pour investir dans le renseignement sur la cybermenace ? La Cyber Threat Intelligence peut prendre plusieurs formes :

  • l’accès à des plateformes SaaS payantes (FireEye par exemple), avec possibilité selon les cas d’accéder à l’information de différentes façons (par secteur, par groupe d’attaquants…) ;
  • l’inscription aux bulletins d’alerte des CERT, dont le CERT gouvernemental ;
  • subscription to more advanced newsletters, in which attacks are broken down using the Kill Chain framework;
  • l’abonnement à des flux techniques, pour recevoir des informations formatées en STIX.

Même si la plupart de ces solutions sont payantes, tout RSSI a la possibilité d’intégrer la Threat Intelligence à son rythme, et avec peu voire pas de budget. Cela passe par l’organisation et l’automatisation d’une veille sur les réseaux sociaux, ainsi que par l’utilisation d’outils gratuits. À titre d’exemple, MISP se présente comme une plateforme de renseignements en open source.

 

How can CISOs bring data down to earth?

Dans la cybersécurité, la donnée doit effectuer une boucle. Une fois collectée, comprise, traitée, formatée et interprétée, il faut la faire redescendre (dans sa nouvelle forme) vers le terrain pour que les consignes de sécurité puissent être suivies.

Faut-il communiquer sur les règles de conduite ou les tâches à effectuer par écrit ou par oral ? Il n’existe pas de bonne réponse, certaines personnes étant plus attentives à une note d’information alors que d’autres préféreront une explication de vive voix. C’est donc au RSSI de faire preuve d’écoute et d’empathie pour détecter le mode de communication le plus adapté à ses interlocuteurs. Deux bonnes pratiques méritent cependant d’être citées.

  • Adapting to team tools

Au quotidien, les opérationnels utilisent déjà leur propre outil ITSM. Résistance au changement oblige, il est rare qu’ils adoptent facilement un outil supplémentaire ! Dans la mesure du possible, mieux vaut donc se servir des outils déjà en place pour communiquer les informations. Elles seront ainsi plus facilement consultées.

  • Create committees

La constitution d’un comité présente l’avantage de mêler oralité et écrit (via un support comme un tableau de bord ou une présentation). Si le format « comité » se pratique avec l’exécutif, il est tout aussi utile avec les équipes opérationnelles. Il permet à la fois de transmettre de l’information et d’en obtenir. C’est aussi une bonne façon de responsabiliser chacun quant aux données qu’il doit faire remonter et de valoriser les équipes pour leur contribution à la protection de l’entreprise.

Tenacy to create a data flow

Pensée par des RSSI pour des RSSI, la plateforme Tenacy permet d’évaluer facilement sa position de sécurité, d’adapter ses actions, le tout en faisant redescendre les informations pertinentes vers les équipes opérationnelles.

Contact us