La collecte des données internes par le RSSI

Si le sujet des données s’avère aussi complexe en cybersécurité, c’est parce que leurs natures et leurs sources sont très hétérogènes. Il reste toutefois possible, dans les grandes lignes, de dégager quelques axes de réflexion.

 

Se constituer son propre socle

  • « De quelles informations dois-je disposer ? »
  • « Comment puis-je les obtenir ? »

Ces deux questions sont sans nul doute celles que tout RSSI est amené à se poser pour pouvoir collecter de la donnée pertinente. L’exercice implique donc de :

  • se tourner vers les fondamentaux de la cybersécurité (l’annuaire de l’entreprise, les référentiels d’actifs…) ;
  • détecter les données spécifiques à aller capter, en reprenant la liste des périmètres à protéger et des sources qu’on y trouve (serveurs, applications, passerelles VPN…).

La data couvre ainsi de nombreux champs, en balayant aussi bien l’information sur les menaces que l’état de la sécurisation d’un lieu physique, ou encore la façon dont les indicateurs sont interconnectés.

Mais l’exercice ne s’arrête pas là ! Ou plutôt, il ne commence pas là : la première des choses à faire pour traiter correctement la donnée consiste, en partant de la base de connaissances disponible (référentiels, bonnes pratiques…) à se constituer son propre référentiel, en sélectionnant et compilant les exigences.

 

Miser sur le dialogue

On pense bien évidemment aux consoles et aux outils de détection de certains comportements (téléchargement d’outils inappropriés, navigation sur des sites non sécurisés…). Malheureusement, la technologie ne suffit pas ici, et ce pour deux raisons.

Tout d’abord, la donnée issue des outils ne dit pas et ne dira jamais tout, certaines informations étant détenues uniquement par certaines personnes (collaborateurs, top management…).Parce que la collecte s’organise principalement « à la main », elle dépend ensuite largement de la bonne volonté des équipes censées contribuer, par exemple en remplissant des fichiers Excel.

La dimension humaine étant la difficulté principale, elle représente aussi une piste d’amélioration intéressante pour le RSSI. Quoi de plus efficace, en effet, que d’aller sur le terrain et d’échanger ?

Dans une usine par exemple, le responsable connaît parfaitement ses chaînes de production, mais ignore le plus souvent tout des risques. Le dialogue est donc un bon moyen de recueillir de la donnée intéressante à traiter : en s’appuyant sur la connaissance du fonctionnement de l’usine détenue par le responsable, le RSSI récolte de précieuses informations à la source et crée du lien pour pouvoir organiser la transmission des données.

 

Le RSSI doit aussi s’intéresser à la data externe

La donnée, ce n’est pas que la donnée interne ! Pour évaluer son niveau de sécurité, encore faut-il que chaque RSSI puisse améliorer sa pratique professionnelle au contact de pairs et être informé des dernières menaces.

 

La veille et le réseau : des incontournables

Aujourd’hui, les occasions pour les RSSI de se rencontrer ne manquent pas. Le CESIN propose ainsi un congrès annuel ouvert à tous, en plus de réunions de travail trimestrielles et d’un groupe de discussion en ligne réservés aux adhérents. Le CLUSIF permet quant à lui de participer à des groupes de travail mensuels, mais aussi d’assister aux cinq conférences annuelles et aux publications.

Pour les RSSI ne souhaitant pas rejoindre un club, ils peuvent se rendre aux nombreux évènements organisés tout au long de l’année par des experts de la cybersécurité, tels que le FIC ou les Assises. Ils représentent un bon moyen de se tenir informé sur des sujets aussi cruciaux et divers que les nouvelles menaces, les bonnes pratiques, les derniers outils disponibles sur le marché, etc.

Globalement, toute source d’informations mérite d’être exploitée, y compris les webinaires ou blogs proposés par les cabinets de consultants ou éditeurs de logiciels spécialisés. À chaque RSSI de tester et de sélectionner les salons, associations et évènements susceptibles de lui apporter les informations dont il a le plus besoin !

 

Intégrer la Cyber Threat Intelligence

Selon le dernier baromètre de la cybersécurité des entreprises du CESIN, la Threat Intelligence se développe. En effet, 29 % des entreprises ont intégré un dispositif de CTI pour faire face à la vague de cybercriminalité dominée par le ransomware de 2020.

Vers quels outils se tourner pour investir dans le renseignement sur la cybermenace ? La Cyber Threat Intelligence peut prendre plusieurs formes :

  • l’accès à des plateformes SaaS payantes (FireEye par exemple), avec possibilité selon les cas d’accéder à l’information de différentes façons (par secteur, par groupe d’attaquants…) ;
  • l’inscription aux bulletins d’alerte des CERT, dont le CERT gouvernemental ;
  • l’inscription à des bulletins d’informations plus poussés, dans lesquels les attaques sont décomposées en utilisant le framework de la Kill Chain ;
  • l’abonnement à des flux techniques, pour recevoir des informations formatées en STIX.

Même si la plupart de ces solutions sont payantes, tout RSSI a la possibilité d’intégrer la Threat Intelligence à son rythme, et avec peu voire pas de budget. Cela passe par l’organisation et l’automatisation d’une veille sur les réseaux sociaux, ainsi que par l’utilisation d’outils gratuits. À titre d’exemple, MISP se présente comme une plateforme de renseignements en open source.

 

Quels moyens pour le RSSI de faire redescendre la donnée ?

Dans la cybersécurité, la donnée doit effectuer une boucle. Une fois collectée, comprise, traitée, formatée et interprétée, il faut la faire redescendre (dans sa nouvelle forme) vers le terrain pour que les consignes de sécurité puissent être suivies.

Faut-il communiquer sur les règles de conduite ou les tâches à effectuer par écrit ou par oral ? Il n’existe pas de bonne réponse, certaines personnes étant plus attentives à une note d’information alors que d’autres préféreront une explication de vive voix. C’est donc au RSSI de faire preuve d’écoute et d’empathie pour détecter le mode de communication le plus adapté à ses interlocuteurs. Deux bonnes pratiques méritent cependant d’être citées.

  • S’adapter aux outils des équipes

Au quotidien, les opérationnels utilisent déjà leur propre outil ITSM. Résistance au changement oblige, il est rare qu’ils adoptent facilement un outil supplémentaire ! Dans la mesure du possible, mieux vaut donc se servir des outils déjà en place pour communiquer les informations. Elles seront ainsi plus facilement consultées.

  • Créer des comités

La constitution d’un comité présente l’avantage de mêler oralité et écrit (via un support comme un tableau de bord ou une présentation). Si le format « comité » se pratique avec l’exécutif, il est tout aussi utile avec les équipes opérationnelles. Il permet à la fois de transmettre de l’information et d’en obtenir. C’est aussi une bonne façon de responsabiliser chacun quant aux données qu’il doit faire remonter et de valoriser les équipes pour leur contribution à la protection de l’entreprise.

Tenacy pour créer un data flow

Pensée par des RSSI pour des RSSI, la plateforme Tenacy permet d’évaluer facilement sa position de sécurité, d’adapter ses actions, le tout en faisant redescendre les informations pertinentes vers les équipes opérationnelles !

Contactez-nous