Les contrôles de sécurité sont des paramètres mis en oeuvre pour protéger divers formes de données et d' infrastructure importantes pour une organisation. Tout type de sauvegarde ou de contre-mesure utilisé pour éviter, détecter, contrer ou réduire les risques de sécurité pour les biens physiques, les informations, les systèmes informatiques ou d'autres actifs est considéré comme un contrôle de sécurité.

Compte tenu du rythme croissant des cyberattaques, les contrôles de la sécurité des données sont plus importants aujourd'hui que jamais. Selon une étude de la Clark School de l'université du Maryland, les attaques de cybersécurité aux États-Unis se produisent désormais toutes les 39 secondes en moyenne, touchant un Américain sur trois chaque année, 43 % de ces attaques visant les petites entreprises. Entre juillet 2018 et avril 2019, le coût moyen d'une violation de données aux États-Unis était de 8,2 millions USD.

Parallèlement, les réglementations relatives à la confidentialité des données se multiplient, ce qui oblige les entreprises à renforcer leurs politiques de protection des données sous peine d'amendes potentielles. L'Union européenne a mis en œuvre ses règles strictes du Règlement général sur la protection des données (RGPD) l'année dernière. Aux États-Unis, la loi californienne sur la protection de la vie privée des consommateurs doit entrer en vigueur le 1er janvier 2020, et plusieurs autres États envisagent actuellement des mesures similaires.

Ces règlements prévoient généralement des sanctions sévères pour les entreprises qui ne respectent pas les exigences. Par exemple, Facebook a récemment indiqué qu'il s'attendait à être sanctionné par une amende de plus de 3 milliards USD de la part de la Commission fédérale du commerce des États-Unis pour l'existence de lacunes dans les politiques de protection des données qui ont conduit à plusieurs atteintes à la protection des données.

Il existe plusieurs types de contrôles de sécurité qui peuvent être mis en œuvre pour protéger le matériel, les logiciels, les réseaux et les données contre des actions et des événements susceptibles de causer des pertes ou des dommages. Par exemple :

• Les contrôles de sécurité physique comprennent des éléments tels que la clôturage du périmètre du centre de données, les serrures, les gardes, les cartes de contrôle d'accès, les systèmes de contrôle d'accès biométriques, les caméras de surveillance et les capteurs de détection des intrusions.
• Les contrôles de sécurité numérique comprennent des éléments tels que les noms d'utilisateur et les mots de passe, l'authentification à deux facteurs, les logiciels antivirus et les pare-feu.
• Les contrôles de cybersécurité comprennent tout ce qui est spécifiquement conçu pour empêcher les attaques sur les données, y compris l'atténuation des attaques DDoS et les systèmes de prévention des intrusions.
• Les contrôles de sécurité du cloud comprennent les mesures que vous prenez en coopération avec un fournisseur de services de cloud pour assurer la protection nécessaire des données et des charges de travail. Si votre organisation exécute des charges de travail dans le cloud, vous devez respecter les exigences de sécurité de sa politique d'entreprise ou commerciale et les réglementations du secteur.

Les systèmes de contrôles de sécurité, y compris les processus et la documentation définissant la mise en œuvre et la gestion continue de ces contrôles, sont appelés cadres ou normes.

Les cadres permettent à une organisation de gérer de manière cohérente les contrôles de sécurité pour différents types d'actifs selon une méthodologie généralement acceptée et testée. Voici quelques-uns des cadres et des normes les plus connus :

Cadre de cybersécurité National Institute of Standards and Technology (NIST)

Le National Institute of Standards and Technology (NIST) a créé un cadre volontaire en 2014 pour fournir aux organisations des conseils sur la façon de prévenir, de détecter et de répondre aux cyberattaques. Les méthodes et procédures d'évaluation sont utilisées pour déterminer si les contrôles de sécurité d'une organisation sont correctement mis en œuvre, fonctionnent normalement et produisent le résultat souhaité (satisfaction des exigences de sécurité de l'organisation). Le cadre du NIST est constamment mis à jour pour suivre les progrès de la cybersécurité.

Contrôles Center for Internet Security

Le Center for Internet Security (CIS) a dressé une liste de mesures défensives hautement prioritaires qui constituent un point de départ incontournable pour toute entreprise cherchant à prévenir les cyberattaques. Selon le SANS Institute, qui a développé les contrôles CIS, « les contrôles CIS sont efficaces, car ils sont issus des modèles d'attaque les plus courants mis en évidence dans les principaux rapports sur les menaces et validés par une très large communauté de praticiens du gouvernement et de l'industrie. »

Les organisations peuvent se référer à ces cadres et à d'autres pour développer leur propre cadre de sécurité et leurs politiques de sécurité informatique. Un cadre bien développé garantit qu'une organisation fait ce qui suit :

• Applique les politiques de sécurité informatique par le biais de contrôles de sécurité
• Forme les employés et les utilisateurs aux directives de sécurité
• Respecte les réglementations sectorielles et de conformité
• Atteint l'efficacité opérationnelle dans les contrôles de sécurité
• Évalue en continu les risques et les traite par des contrôles de sécurité

Une solution de sécurité est aussi robuste que son maillon le plus faible. Vous devez donc envisager plusieurs strates de contrôles de sécurité (ce que l'on appelle aussi une stratégie de défense en profondeur) pour mettre en œuvre des contrôles de sécurité dans la gestion des identités et des accès, les données, les applications, l'infrastructure du réseau ou des serveurs, la sécurité physique et les renseignements sur la sécurité.

Une évaluation des contrôles de sécurité est une excellente première étape pour déterminer où se trouvent les vulnérabilités. Une évaluation des contrôles de sécurité vous permet d'évaluer les contrôles que vous avez actuellement en place et de déterminer s'ils sont correctement mis en œuvre, s'ils fonctionnent normalement et s'ils répondent à vos exigences de sécurité. La NIST Special Publication 800-53 a été créée par le NIST pour servir de référence à des évaluations réussies des contrôles de sécurité. Les lignes directrices du NIST constituent une approche des bonnes pratiques qui, lorsqu'elles sont appliquées, peuvent contribuer à atténuer le risque de compromission de la sécurité de votre organisation. Votre organisation peut également créer sa propre évaluation de la sécurité.

Voici quelques étapes clés pour créer une évaluation de la sécurité :

• Déterminez les systèmes cibles : créez la liste des adresses IP devant être analysées dans votre réseau. La liste doit contenir les adresses IP de tous les systèmes et appareils connectés au réseau de votre organisation.
• Déterminez les applications cibles : établissez la liste des applications et services Web à analyser. Déterminez le type de serveur d'applications Web, de serveur Web, de base de données, de composants tiers et de technologies utilisés pour créer les applications existantes.
• Analyse des vulnérabilités et production de rapports : tenez les équipes réseau et les équipes informatiques informées de toutes les activités d'évaluation, car une évaluation des vulnérabilités peut occasionnellement créer des rafales de trafic réseau lorsqu'on charge les serveurs cibles de requêtes. De plus, obtenez le passe-système non authentifié pour les adresses de l'analyseur des adresses IP dans le réseau de l'organisation et assurez-vous que les adresses IP sont sur une liste blanche dans IPS/IDS. Sinon, l'analyseur peut déclencher une alerte de trafic malveillant, entraînant le blocage de son adresse IP.

Découvrez-en plus sur la façon d'évaluer la vulnérabilité des applications et du réseau de votre entreprise en créant votre propre évaluation de la sécurité.

IBM Cloud  répond à des directives et des politiques de sécurité gouvernementales et sectorielles strictes et adopte plusieurs mesures pour renforcer la sécurité physique, ce qui signifie que vous pouvez vous sentir en confiance lorsque vous modernisez vos applications, quel que soit le stade où vous en êtes dans votre transition vers le cloud.  

Pour aller plus loin :

• Découvrez toutes les façons dont les contrôles de sécurité IBM Cloud protègent et surveillent vos applications dans le cloud.

• En savoir plus sur IBM Cloud.

Démarrez aujourd'hui avec un  compte IBM Cloud.