La gestion des risques a toujours été un processus important pour les entreprises. À l’ère numérique, cet effort permanent revêt une importance encore plus grande. Aujourd’hui, les organisations ne peuvent pas gérer efficacement les risques sans évaluer périodiquement leurs politiques de sécurité informatique et les programmes d’application correspondants. Celles qui ne veulent pas ou ne peuvent pas examiner la manière dont elles gèrent leurs politiques de sécurité ne peuvent pas savoir si quelque chose fonctionne. Pire, elles ne peuvent pas reconnaître quand leur programme est bloqué dans une ornière ou quand il ignore des opportunités qui réduisent les risques.

Voici cinq erreurs courantes commises par les organisations dans le cadre de leur programme de gestion de la politique de sécurité.

  1. Penser au réseau et non aux applications métier

Il arrive que les entreprises ne voient pas la forêt à travers les arbres. Elles créent une politique qui justifie la configuration de leur réseau, comme les ports ou les tunnels VPN à utiliser. Mais elles ne se demandent pas pourquoi l’accès au réseau est nécessaire en premier lieu et quelle application commerciale la règle ou la politique soutient. Il en va de même dans l’autre sens. Les entreprises ne suppriment généralement pas l’accès au réseau d’une application déclassée et ne révisent pas l’une de leurs politiques parce qu’elles craignent que cela n’affecte négativement la fonctionnalité d’un actif. En réalité, elles devraient plutôt s’inquiéter de la manière dont un pirate pourrait exploiter l’accès ouvert pour attaquer leurs systèmes.

  1. Manque de communication efficace entre les différentes équipes

La gestion des politiques de sécurité d’une organisation nécessite un important travail d’équipe. Il y a ceux qui créent et appliquent les politiques, ceux qui s’assurent que ces politiques garantissent une fonctionnalité optimale du système et ceux qui lient les politiques aux applications de l’entreprise. Ces groupes d’individus n’interagissent pas toujours les uns avec les autres. Mais leurs tâches sont fondamentalement collaboratives et interdépendantes. Le personnel ne peut pas créer des politiques de sécurité efficaces s’il ne comprend pas quelles applications commerciales ont besoin d’être soutenues. Les équipes doivent également connaître ces politiques pour comprendre comment elles peuvent ou non affecter le réseau de l’organisation.

  1. Autoriser les modifications non documentées à la volée

La documentation de chaque politique est un élément essentiel de la gestion des politiques de sécurité. Si les organisations n’encouragent pas la documentation, elles courent le risque que le personnel crée des politiques pour lesquelles il n’y a pas d’explication lorsqu’un auditeur se présente. Il est également possible que les employés créent plusieurs politiques qui couvrent le même risque de sécurité, ce qui entraîne un encombrement inutile. La documentation est importante dans la mesure où elle permet d’enregistrer une politique et de normaliser son application à travers tous les coéquipiers. Par conséquent, les organisations devraient non seulement encourager la documentation, mais aussi l’associer à un processus formel de création de nouvelles politiques. Cela empêchera les employés de créer impulsivement des politiques de sécurité qui mériteraient d’être réfléchies et examinées.

  1. Ne tenez pas compte de l’erreur humaine

Nous sommes tous humains. Cela signifie que nous commettons parfois des erreurs. Nimrod Reichenberg, responsable de la stratégie mondiale d’AlgoSec, explique dans un article  a publié sur Dark Reading un scénario de ce type auquel il a été confronté dans le cadre de son travail :

« Un administrateur d’une entreprise avec laquelle nous avons travaillé a accidentellement tapé le port 433 au lieu du port 443 lors de la modification d’une règle de pare-feu. Disons que ce n’était pas une bonne journée pour lui ».

Les erreurs de saisie ne font pas que perdre du temps. Elles créent une confusion qui peut potentiellement affaiblir la sécurité d’une entreprise. Les organisations doivent donc tenir compte de l’erreur humaine dans leur programme de gestion de la politique de sécurité. Pour ce faire, elles peuvent notamment utiliser un outil complémentaire ou un script capable de détecter les fautes de frappe et autres erreurs.

  1. Ne pas prendre en compte les risques inhérents

Les politiques de sécurité mal conçues ne servent pas les intérêts de l’entreprise. Parfois, elles augmentent les risques, violent les exigences de conformité ou entrent en conflit avec d’autres éléments de la stratégie informatique de l’entreprise. Compte tenu des risques potentiels créés par les politiques de sécurité, les entreprises devraient réfléchir davantage à la manière dont elles conçoivent leurs programmes de gestion des politiques de sécurité. En particulier, elles doivent déterminer les risques qui pourraient survenir si elles créaient une nouvelle politique de sécurité.

Pour atténuer davantage le risque intégré, les entreprises devraient envisager l’automatisation. IT Business Edge est un fervent défenseur de cette décision :

« L’automatisation rationalisera vos processus, vous permettra de modifier rapidement les conceptions, d’identifier les règles qui peuvent être réutilisées, de diffuser des politiques de manière transparente, d’effectuer rapidement des analyses de risque et des audits, de créer instantanément de la documentation et de procéder à des validations et à des rapprochements, le tout en temps réel. Certaines tâches nécessiteront toujours une intervention humaine, mais vous disposerez d’un système plus sûr si vous faites en sorte que les membres de votre équipe se concentrent sur les tâches qui nécessitent une analyse et une investigation, plutôt que sur des tâches banales qui peuvent être automatisées. »

Conclusion

La gestion de la politique de sécurité est un aspect important de la gestion des risques. Mais elle n’est pas naturelle pour toutes les entreprises. C’est pourquoi  Metacompliance a mis au point une gamme de produits de gestion des politiques qui aident les entreprises à concevoir des politiques de sécurité et à sensibiliser le personnel.

Pour en savoir plus sur la façon dont les solutions de Metacompliance peuvent aider votre entreprise, cliquez ici.