La gestion des risques a toujours été un processus important pour les entreprises. À l'ère du numérique, cet effort permanent revêt une importance encore plus grande. Aujourd'hui, les organisations ne peuvent pas gérer efficacement les risques sans évaluer périodiquement leurs politiques de sécurité informatique et leurs programmes d'application correspondants. Celles qui ne veulent pas ou ne peuvent pas examiner la façon dont elles gèrent leurs politiques de sécurité ne peuvent pas identifier quand quelque chose fonctionne. Pire encore, elles ne peuvent pas reconnaître si leur programme est enlisé dans une ornière ou s'il ignore les possibilités de réduire les risques.
Voici cinq erreurs courantes que les organisations commettent lorsqu'il s'agit de leur programme de gestion des politiques de sécurité.
-
Penser au réseau et non aux applications métier
Les organisations ne voient parfois pas la forêt à travers les arbres. Elles créent une politique qui justifie leur configuration réseau, comme les ports ou les tunnels VPN à utiliser. Mais elles ne se demandent pas pourquoi l'accès au réseau est nécessaire et quelle application commerciale la règle ou la politique prend en charge. C'est la même chose dans l'autre sens, également. Les entreprises ne suppriment généralement pas l'accès au réseau d'une application mise hors service et ne révisent pas l'une de leurs règles par crainte de nuire à la fonctionnalité d'un actif. En réalité, elles devraient être plus préoccupées par la façon dont un attaquant pourrait exploiter un accès ouvert pour attaquer leurs systèmes.
- Manque de communication efficace entre les différentes équipes
La gestion des politiques de sécurité d'une organisation nécessite un travail d'équipe important. Il y a ceux qui créent et appliquent les politiques, ceux qui s'assurent que ces politiques garantissent une fonctionnalité optimale du système, et ceux qui relient les politiques aux applications commerciales. Ces groupes d'individus n'interagissent pas toujours les uns avec les autres. Mais leurs tâches sont fondamentalement collaboratives et interdépendantes. Si le personnel ne comprend pas quelles applications métier ont besoin d'être prises en charge, il ne peut pas créer de politiques de sécurité efficaces. Les équipes doivent également connaître ces politiques pour comprendre comment elles peuvent ou non affecter le réseau de l'organisation.
- Autoriser les changements non documentés à la volée
Une partie essentielle de la gestion des politiques de sécurité consiste à documenter chaque politique. Si les organisations n'encouragent pas la documentation, elles courent le risque que le personnel crée des politiques pour lesquelles il n'y a pas d'explication lorsqu'un auditeur se présente. Il y a également un risque que les employés créent plusieurs politiques couvrant le même risque de sécurité, ce qui entraîne un encombrement inutile. La documentation est importante dans la mesure où elle permet d'enregistrer une politique et de normaliser son application par tous les coéquipiers. Par conséquent, les organisations doivent non seulement encourager la documentation, mais aussi l'associer à un processus formel de création de nouvelles politiques. Cela empêchera les employés de créer impulsivement des politiques de sécurité qui mériteraient d'être réfléchies et examinées.
- Ne pas tenir compte de l'erreur humaine
Nous sommes tous humains. Cela signifie que nous faisons parfois des erreurs. Nimrod Reichenberg, responsable de la stratégie mondiale d'AlgoSec, explique dans un article publié sur Dark Reading l'un des scénarios qu'il a rencontrés dans le cadre de son travail :
"Un administrateur d'une entreprise avec laquelle nous avons travaillé a accidentellement tapé le port 433 au lieu du port 443 lors de la modification d'une règle de pare-feu. Disons que ce n'était pas une bonne journée pour lui".
Les erreurs de saisie font plus que perdre du temps. Elles créent une confusion qui peut potentiellement affaiblir la sécurité d'une entreprise. Les organisations doivent donc tenir compte de l'erreur humaine dans leur programme de gestion des politiques de sécurité. L'un des moyens d'y parvenir est d'utiliser un outil complémentaire ou un script capable de détecter les fautes de frappe et autres erreurs.
- Ne pas prendre en compte le risque intégré
Les politiques de sécurité mal conçues ne servent pas les intérêts de l'entreprise. Parfois, elles ajoutent des risques, violent les exigences de conformité ou entrent en conflit avec d'autres parties de la stratégie informatique d'une organisation. Compte tenu des risques potentiels créés par les politiques de sécurité, les entreprises devraient réfléchir davantage à la manière dont elles conçoivent leurs programmes de gestion des politiques de sécurité. Plus précisément, elles doivent déterminer quels risques pourraient survenir si elles créent une nouvelle politique de sécurité.
Pour atténuer davantage le risque intégré, les organisations devraient envisager l'automatisation. IT Business Edge est un fervent défenseur de cette décision :
"L'automatisation rationalisera vos processus, vous permettra de modifier rapidement les conceptions, d'identifier les règles qui peuvent être réutilisées, de pousser les politiques de manière transparente, de mener rapidement des analyses de risques et des audits, de créer instantanément de la documentation et de valider et réconcilier, le tout en temps réel. Il y aura toujours des tâches qui nécessiteront une intervention humaine, mais vous aurez un système plus sûr si vous gardez les membres de votre équipe concentrés sur les tâches qui nécessitent une analyse et une investigation, plutôt que sur des tâches banales qui peuvent être automatisées."
Conclusion
La gestion des politiques de sécurité est une facette importante de la gestion des risques. Mais elle n'est pas naturelle pour toutes les entreprises. C'est pourquoi Metacompliance a mis au point une gamme de produits de gestion des politiques qui aident les entreprises à concevoir des politiques de sécurité et à assurer la sensibilisation du personnel.
Pour en savoir plus sur la façon dont les solutions de Metacompliance peuvent aider votre entreprise, cliquez ici.
