Le RSSI face aux données : quelle organisation retenir ?

En cybersécurité, les données sont essentielles. Sans elles, impossible pour le RSSI de factualiser sa position de sécurité et de savoir quelle posture adopter ! Alors que les services RH et financiers disposent de leur propre système d’information, la cybersécurité se pratique le plus souvent avec les moyens du bord. Pour être efficace, quelles données collecter ? Comment les faire redescendre vers le terrain ? Voici un tour d’horizon méthodologique du sujet.

Partage

La collecte des données internes par le RSSI

Si le sujet des données s’avère aussi complexe en cybersécurité, c’est parce que leur nature et leur source sont très hétérogènes. Il reste toutefois possible, dans les grandes lignes, de dégager de grands axes de réflexion.

 

Se constituer son propre socle

  • « De quelles informations dois-je disposer ? »
  • « Comment puis-je les obtenir ? »

Ces deux questions sont sans nul doute celles que tout RSSI est amené à se poser pour pouvoir collecter de la donnée pertinente. L’exercice implique donc de se tourner vers les fondamentaux de la cybersécurité (l’annuaire de l’entreprise, les référentiels d’actifs…) mais aussi de détecter les données spécifiques à aller capter, en reprenant la liste des périmètres à protéger et des sources qu’on y trouve (serveurs, applications, passerelles VPN…). La data couvre ainsi de nombreux champs, en balayant aussi bien l’information sur les menaces, l’état de la sécurisation d’un lieu physique, la façon dont les indicateurs sont interconnectés etc.

Mais l’exercice ne s’arrête pas là ! Ou plutôt, il ne commence pas là, dans la mesure où la première des choses à faire pour traiter correctement la donnée consiste, en partant de la base de connaissances disponible (référentiels, bonnes pratiques…) à se constituer son propre référentiel, en sélectionnant et compilant les exigences.

 

Comment collecter les données ?

On pense bien évidemment aux consoles et aux outils de détection de certains comportements (téléchargement d’outils inappropriés, navigation sur des sites non sécurisés…). Malheureusement, la technologie ne suffit pas, et ce pour les deux raisons.

Tout d’abord, la donnée issue des outils ne dit pas et ne dira jamais tout, certaines informations étant détenues uniquement par les personnes (collaborateurs, top management…).Parce que la collecte s’organise principalement « à la main », elle dépend ensuite largement de la bonne volonté des équipes censées contribuer, par exemple en remplissant des fichiers Excel.

La dimension humaine étant la difficulté principale, elle représente aussi une piste d’amélioration intéressante pour le RSSI. Quoi de plus efficace en effet que d’aller sur le terrain et d’échanger ?

Dans une usine par exemple, le responsable connaît parfaitement ses chaînes de production, mais ignore le plus souvent tout des risques. Le dialogue est donc un bon moyen de recueillir de la donnée intéressante à traiter : en s’appuyant sur la connaissance du fonctionnement de l’usine détenue par le responsable, le RSSI récolte de précieuses informations à la source et crée du lien pour pouvoir organiser la transmission des données.

 

Le RSSI doit aussi s’intéresser à la data externe

La donnée, ce n’est pas que la donnée interne ! Pour évaluer son niveau de sécurité, encore faut-il que chaque RSSI puisse améliorer sa pratique professionnelle au contact de pairs et être informé des dernières menaces.

 

En cybersécurité, la veille et le réseau sont une nécessité

Aujourd’hui, les occasions pour les RSSI de se rencontrer ne manquent pas. Le CESIN propose ainsi un congrès annuel ouvert à tous, outre des réunions de travail trimestrielles et un groupe de discussion en ligne réservés aux adhérents. Le CLUSIF permet quant à lui de participer aux groupes de travail mensuels, mais aussi d’assister aux cinq conférences annuelles et aux publications.

Pour les RSSI ne souhaitant pas rejoindre un club, les évènements organisés tout au long de l’année les experts de la cybersécurité, tels que le FIC ou les Assises, sont aussi une solution pour se tenir informé sur bon nombre de sujets : nouvelles menaces, bonnes pratiques, derniers outils disponibles sur le marché etc.

Globalement, toute source d’informations mérite d’être exploitée, y compris les webinaires ou blogs proposés par les cabinets de consultants ou éditeurs de logiciels spécialisés. A chaque RSSI de tester et de sélectionner les salons, associations et évènements de nature susceptibles de lui apporter les informations dont il a le plus besoin.

 

Intégrer la Cyber Threat Intelligence

Selon le dernier baromètre de la cybersécurité des entreprises du CESIN, la Threat Intelligence se développe. En effet, 29% des entreprises ont intégré un dispositif de CTI pour faire face à la vague de cyber-criminalité dominée par le ransomware de 2020.

Vers quels outils se tourner pour investir dans le renseignement sur la cybermenace ? La Cyber Threat Intelligence peut prendre plusieurs formes :

  • l’accès à des plateformes Saas payantes (FireEye par exemple), avec possibilité selon les cas d’accéder à de l’information de différentes façons (par secteur, par groupe d’attaquants…) ;
  • l’inscription aux bulletins d’alerte des CERT, dont le CERT gouvernemental ;
  • l’inscription à des bulletins d’informations plus poussés, dans lesquels les attaques sont décomposées en utilisant le framework de la Kill Chain ;
  • l’abonnement à des flux techniques, pour recevoir des informations formatées en STIX

Même si la plupart de ces solutions sont payantes, tout RSSI dispose de la possibilité d’intégrer la Threat Intelligence à son rythme, et avec peu voire pas de budget.  Cela passe par l’organisation et l’automatisation d’une veille sur les réseaux sociaux, ainsi que par l’utilisation d’outils gratuits. À titre d’exemple, MISP se présente comme une plateforme de renseignement en open source.

 

Quels moyens pour le RSSI de faire redescendre la donnée ?

Dans la cybersécurité, la donnée doit effectuer une boucle en boucle. Une fois collectée, comprise, traitée, formatée et interprétée, il faut, sous sa nouvelle forme, la faire redescendre vers le terrain pour que les consignes de sécurité puissent être suivies. Faut-il communiquer sur les règles de conduite ou les tâches à effectuer par écrit ? Par oral ? Il n’existe pas de bonne réponse, certaines personnes étant plus attentives à une note d’information alors que d’autres préféreront une explication de vive voix. C’est donc au RSSI de faire preuve d’empathie pour détecter le mode de communication le plus adapté à ses interlocuteurs. Deux bonnes pratiques méritent cependant d’être citées.

  • S’adapter aux outils des équipes

Au quotidien, les opérationnels utilisent déjà leur propre outil ITSM. Résistance au changement oblige, il est rare qu’ils adoptent facilement un outil supplémentaire ! Dans la mesure du possible, mieux vaut donc se servir des outils déjà en place pour communiquer les informations. Elles seront ainsi plus facilement consultées.

  • Créer des comités

La constitution d’un comité présente l’avantage de mêler oralité et écrit (via un support comme un tableau de bord ou une présentation). Si le format « comité » se pratique avec l’exécutif, il est tout aussi utile avec les équipes opérationnelles. Il permet ainsi, de façon efficace, à la fois de transmettre de l’information et d’en obtenir. C’est aussi une bonne façon de responsabiliser chacun quant aux données qu’il doit faire remonter et de valoriser les équipes pour leur contribution à la protection de l’entreprise.

Tenacy pour créer un data flow

Tenacy est la première plateforme Saas se présentant comme un système d’informations sécurité. Pensée par des RSSI pour des RSSI, elle permet d’évaluer facilement sa position de sécurité, d’adapter ses actions, le tout en faisant redescendre les informations pertinentes vers les équipes opérationnelles.

Contactez-nous