Table des matières:
- Ce que fait un CISO
- Le paysage des professionnels de la sécurité
- Autres budgets et sécurité pour les PME
Les entreprises sont ciblées par les cyberattaques à un rythme alarmant. Des infractions majeures chez Target en décembre 2013 et Neiman Marcus en janvier 2014 ont mis en lumière les insuffisances de nombreux points de vente au détail dans leur infrastructure de sécurité. En conséquence, de plus en plus d'entreprises, grandes et petites, ressentent le besoin d'accélérer leurs efforts et de disposer d'une équipe de sécurité dédiée.
Selon un rapport publié par Reuters en mai 2014, un certain nombre de grandes sociétés, telles que Pepsi et JPMorgan Chase & Co., sont à la recherche de nouveaux responsables de la sécurité de l'information (CISO) dans le but de renforcer les pratiques de sécurité. Cela reflète une plus grande prise de conscience de la sécurité et de son importance au niveau de la direction de l'entreprise.
Les RSSI et les responsables de la cybersécurité sont immergés dans la sécurité de leur technologie, tant pour l'employeur que pour le client, mais leurs rôles et responsabilités deviennent plus prononcés et impératifs aux yeux du grand public, pas seulement au sein de la communauté de la sécurité.
"Il y a cinq ans, la sécurité de l'information ne dépassait guère les dix principales préoccupations des conseils d'administration. Il y a un an, elle était n ° 2. Il est intéressant de noter que c'est désormais la sécurité des données et pas seulement la sécurité de l'information", explique David Boehmer, associé directeur régional de la société de recrutement Heidrick & Luttes, dans une vidéo YouTube produite par l'entreprise.)
Ce que fait un CISO
Le rôle d'un CISO peut être assez large, et ils se retrouvent souvent avec de nombreux chapeaux différents. Le travail implique tout, de la sécurité interne, comme la gestion de la sécurité de la propriété intellectuelle, à la responsabilité de la sécurité des clients.
«Je travaille également avec notre équipe produit et notre équipe d'ingénierie pour implémenter des fonctionnalités dans le produit qui pourraient être intéressantes pour les acheteurs de sécurité», explique Joan Pepin, CISO chez Sumo Logic.
Bien que la violation de Target l'an dernier ait certainement fait parler beaucoup de monde, Pepin explique qu'elle n'était pas du tout surprise - et la plupart des membres de la communauté de la sécurité non plus. Cela ne veut pas dire que la communauté de la sécurité n'a pas eu ses «moments décisifs», où tout le monde devait renforcer son travail pour aller de l'avant.
La violation de RSA en 2011, dans laquelle des pirates ont violé les serveurs de l'entreprise de sécurité de l'information et volé des jetons d'authentification qui permettaient d'accéder à des données gouvernementales et d'entreprise sensibles, a fait vibrer de nombreux professionnels de la sécurité. Comment une entreprise de sécurité pourrait-elle devenir la proie de pirates informatiques de ce genre? Seulement deux ans plus tard, cette préoccupation allait se déplacer vers une cible qui avait auparavant volé sous le radar: les clients de détail. Des attaques comme celles vues chez Target et Neiman Marcus ont déplacé l'attention sur la sécurité pour le client de tous les jours.
"De toute évidence, lorsque vous avez une opération de vente au détail massive avec des milliers et des milliers d'employés, tous ces différents sites, des machines de point de vente, c'est le type de système le plus pauvre et le fait que ce type d'attaques n'a pas eu lieu sur ce type d'échelle plus tôt est en fait un peu une surprise pour moi ", a déclaré Pepin.
Le problème découle du fait que la sécurité est considérée simplement comme une case à cocher pour les entreprises à cocher et à quitter plutôt que comme un aspect constamment contrôlé de leur entreprise. Cela ne signifie pas que les cybercriminels sont laxistes et peuvent simplement entrer. En fait, les cybercriminels sont de plus en plus qualifiés.
"était une brèche assez sophistiquée, capable de se faire passer pour l'agent BMC, et ce genre de choses furtives. S'engager dans des mouvements latéraux à travers le réseau Target était assez intelligent, " a déclaré Pepin.
"Je ne veux pas en retirer mais en termes de difficulté d'objectif, sans jeu de mots, je ne placerais aucune chaîne de vente au détail sur une liste de cibles dures. Les entreprises de sécurité sont des cibles dures, le gouvernement est une cible dure." Une chaîne de vente au détail dont l'entreprise vend des chaussettes, je ne m'attendrais pas à ce qu'elles soient une boutique super sécurisée. "
Le paysage des professionnels de la sécurité
En juin 2014, Target a embauché son premier CISO, Brad Maiorino, un ancien cadre de General Motors qui supervisera une refonte des pratiques de sécurité de l'entreprise.
Les entreprises, quel que soit leur domaine ou leur taille, devront prendre note et améliorer leur jeu de sécurité en réponse aux menaces toujours croissantes avec une plus grande sensibilisation et plus d'autorité pour agir sur les violations potentielles.
"Il était clair … dans le cas Target que des alertes ont été générées auxquelles personne n'a répondu et que, selon mon expérience provenant de la sécurité gérée, c'est extrêmement typique", a déclaré Pepin.
"Le meilleur système de détection d'intrusion au monde a toujours un taux de faux positifs très élevé et les intervenants en sécurité sont donc essentiellement formés par leurs systèmes à ignorer leurs systèmes. Il y a un fossé d'interaction humaine technologique là-bas, où les premiers intervenants deviennent engourdis par milliers. les alertes qu'ils reçoivent sont des ordures. Dans le cas de Target, il y avait des signes qui n'ont pas été suivis et qui auraient pu aider à minimiser l'impact beaucoup plus tôt. "
Comme c'est souvent le cas, un professionnel de la sécurité ne peut pas agir immédiatement sur un problème car il a besoin de l'autorisation ou de l'approbation de quelqu'un d'autre plus haut dans la hiérarchie. Cela doit changer, dit Pepin, expliquant que l'équipe de sécurité d'une entreprise doit avoir plus d'autonomie et d'autorité pour prendre l'initiative.
«Je pense que c'est toujours un problème de gouvernance dans la mesure où les responsables de la sécurité de l'information ne devraient pas rendre compte aux DSI», explique Tom Kellermann, directeur de la cybersécurité chez Trend Micro. "Ils devraient relever directement du directeur des risques ou du PDG." Cela élimine de nombreux intermédiaires et garantit un temps de réponse plus rapide aux urgences potentielles.
Pepin convient que les professionnels de la sécurité doivent "signaler directement au sommet" de leur entreprise. "J'ai la chance de faire rapport à notre PDG. Cela fonctionne très bien et c'est quelque chose que je recommanderais vraiment à toute organisation qui prend sa sécurité au sérieux."
Autres budgets et sécurité pour les PME
Embaucher un CISO et élargir votre équipe de sécurité est très bien si vous avez le budget, mais qu'en est-il des petites entreprises? Bien qu'une attaque contre une petite chaîne ou votre quincaillerie locale ne produira pas les mêmes avantages pour les pirates informatiques que de frapper une cible ou Neiman Marcus, il est toujours imprudent de vous rendre vulnérable de quelque façon que ce soit. Alors, que pouvez-vous faire pour atténuer le risque d'attaque? Pepin recommande fortement d'embaucher les services d'un entrepreneur ou d'un consultant en réponse aux incidents.
"Si vous êtes attaqué, vous pouvez appeler quelqu'un, vous n'avez donc pas besoin d'ouvrir Google et de commencer à chercher", a-t-elle déclaré.
Cela aura plus de sens économique pour une petite entreprise, explique-t-elle, car l'entreprise n'utilisera les services que lorsqu'ils sont nécessaires. Ces services sont également extrêmement spécialisés pour reprendre là où votre personnel s'est arrêté.
"Vous pouvez avoir une équipe fantastique pour le tri, sachant que vous êtes attaqué, mais ce n'est pas exactement le même ensemble de compétences nécessaires pour répondre à cette attaque, pour les acheminer hors de votre réseau et pour collecter les preuves d'une manière qui peut être utilisé par un tribunal. "
Les entreprises disposent de nombreuses ressources pour lutter contre la cybercriminalité. L'histoire récente suggère qu'une autre grosse attaque est imminente.
