Que sont les contrôles de sécurité ?

Les contrôles de sécurité sont les paramètres mis en place pour diverses formes de données et d’infrastructure d’une entreprise. Ainsi, les dispositifs de protection et les contre-mesures utilisés pour éviter, détecter, contrer ou minimiser les risques de sécurité aux biens physiques, aux informations, aux systèmes informatiques ou à tout autre actif d’une entreprise sont considérés comme des contrôles de sécurité.

Compte tenu du nombre croissant de cyberattaques, la mise en place de contrôles de sécurité des données n’a jamais été aussi importante. Selon une étude de la Clark School de l’université du Maryland, une cyberattaque a lieu en moyenne toutes les 39 secondes aux États-Unis, affectant une personne sur trois chaque année. En outre, 43 % de ces attaques ciblent les petites entreprises. Entre mars 2021 et mars 2022, le coût moyen d’une violation de données aux États-Unis s’élevait à 9,44 millions de dollars.

Parallèlement, les réglementations en matière de confidentialité des données se multiplient, ce qui oblige les entreprises à renforcer leurs politiques de protection des données sous peine d’amendes potentielles. Ainsi, l’Union européenne a énoncé des règles strictes dans son Règlement général sur la protection des données (RGPD). Aux États-Unis, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) est entrée en vigueur le 1er janvier 2020, et plusieurs autres États envisagent actuellement des mesures similaires.

Ces règlements prévoient généralement des sanctions sévères pour les entreprises qui ne respectent pas ces exigences. Par exemple, Facebook a récemment annoncé s’attendre à une amende de plus de 3 milliards de dollars de la Commission fédérale du commerce des États-Unis (FTC) pour manquement aux politiques de protection des données qui ont entraîné plusieurs violations.

Plusieurs types de contrôles de sécurité peuvent être mis en œuvre pour protéger le matériel, les logiciels, les réseaux et les données des actions et des événements susceptibles de causer des pertes ou des dommages, notamment :

• Les contrôles de sécurité physique qui comprennent l’installation de barrières autour des centres de données, les verrous, les protections, les cartes de contrôle d’accès, les systèmes de contrôle d’accès biométriques, les caméras de surveillance et les capteurs de détection d’intrusion.
  
  
• Les contrôles de sécurité numériques qui incluent des éléments tels que les noms d’utilisateur et les mots de passe, l’authentification à deux facteurs, les logiciels antivirus et les pare-feu.
  
  
• Les contrôles de cybersécurité qui concernent tout ce qui est spécifiquement conçu pour empêcher les cyberattaques, y compris les systèmes d’atténuation des attaques DDoS et de prévention des intrusions.
  
  
• Les contrôles de sécurité du cloud qui comprennent les mesures prise conjointement avec un fournisseur de services cloud pour assurer une protection adéquate des données et des charges de travail. Si votre entreprise exécute des charges de travail sur le cloud, vous devez respecter les exigences de sécurité de la politique d’entreprise ou métier du fournisseur et les réglementations du secteur.

Les systèmes de contrôles de sécurité, y compris les processus et la documentation définissant leur mise en œuvre et leur gestion continue, s’appellent des cadres ou des normes.

Les cadres permettent à une entreprise de gérer de manière cohérente ses contrôles de sécurité pour différents types d’actifs selon une méthodologie acceptée et testée. Voici quelques-uns des cadres et normes les plus connus :

Cadre de cybersécurité du National Institute of Standards and Technology (NIST)

En 2014, le National Institute of Standards and Technology (NIST) a créé un cadre volontaire fournissant aux entreprises des conseils sur la façon de prévenir, de détecter et de répondre aux cyberattaques. Les méthodes et procédures d’évaluation sont utilisées pour déterminer si les contrôles de sécurité d’une entreprise sont bien mis en œuvre, fonctionnent correctement et ont le résultat escompté (conformément aux exigences de sécurité de l’entreprise). Le cadre NIST est constamment mis à jour pour tenir compte des avancées en matière de cybersécurité.

Contrôles du Center for Internet Security (CIS)

Le Center for Internet Security (CIS) a dressé une liste de mesures défensives hautement prioritaires qui constituent un point de départ incontournable pour toute entreprise cherchant à prévenir les cyberattaques. Selon le SANS Institute, qui a développé les contrôles CIS, ces derniers « sont efficaces car ils sont dérivés des modèles d’attaque les plus courants mis en évidence dans les principaux rapports sur les menaces et vérifiés par une vaste communauté de professionnels travaillant pour le gouvernement et les entreprises du secteur ».

Les entreprises peuvent se référer à ces cadres et à d’autres pour développer leurs propres cadre et politiques de sécurité informatique. Avec un cadre bien établi, les entreprises peuvent :

• Appliquer leurs politiques de sécurité informatique par le biais de contrôles de sécurité
• Sensibiliser leurs employés et utilisateurs aux consignes de sécurité
• Assurer leur conformité aux réglementations du secteur
• Assurer leur efficacité opérationnelle à travers les contrôles de sécurité
• Évaluer en permanence les risques et les gérer par le biais de contrôles de sécurité

Une solution de sécurité est aussi robuste que son maillon le plus faible. Par conséquent, vous devez renforcer les contrôles de sécurité (stratégie de défense en profondeur) pour mettre en œuvre des contrôles de sécurité dans la gestion des identités et des accès, les données, les applications, l’infrastructure du réseau ou des serveurs, la sécurité physique et les informations sur la sécurité.

Une évaluation des contrôles de sécurité est une excellente première étape pour identifier les vulnérabilités potentielles. En effet, elle vous permet d’évaluer les contrôles qui sont actuellement en place et de déterminer s’ils sont bien mis en œuvre, s’ils fonctionnent correctement et s’ils répondent à vos exigences de sécurité. La NIST Special Publication 800-53 sert de référence pour les évaluations des contrôles de sécurité. Les directives du NIST constituent une approche des bonnes pratiques qui, lorsqu’elles sont appliquées, peuvent contribuer à atténuer les risques de compromission de la sécurité de votre entreprise. Autrement, votre entreprise peut également créer sa propre évaluation de la sécurité.

Voici quelques étapes clés à suivre pour créer une évaluation de sécurité :

• Déterminer les systèmes cibles : créez une liste d’adresses IP à analyser dans votre réseau. La liste doit contenir les adresses IP de tous les systèmes et appareils connectés au réseau de votre entreprise.
  
  
• Déterminer les applications cibles : établissez la liste des applications et services Web à analyser. Déterminez le type de serveur d’applications Web, de serveur Web, de base de données, de composants tiers et de technologies utilisés pour créer les applications existantes.
  
  
• Analyser les vulnérabilités et créer des rapports : tenez les équipes réseau et informatiques informées de toutes les activités d’évaluation, car une évaluation des vulnérabilités peut occasionnellement créer des pics de trafic réseau lorsque les serveurs cibles sont chargés de requêtes. Obtenez également le passe-système non authentifié pour les adresses IP du scanner sur le réseau de l’entreprise et assurez-vous que les adresses IP figurent sur une liste blanche dans IPS/IDS. Dans le cas contraire, le scanner peut déclencher une alerte de trafic malveillant, entraînant le blocage de son adresse IP.

Découvrez-en plus sur la façon d’évaluer la vulnérabilité des applications et du réseau de votre entreprise en créant votre propre évaluation de la sécurité.