AVID D’EXPERT – En matière de cybersécurité, les entreprises regorgent de connaissances et de compétences, mais elles manquent souvent de clairvoyance et de concentration. Peut-être ont-elles besoin de nouvelles lunettes ? Tim Morris, Chief Security Advisor, AMER chez Tanium tente ici de nous aider à y voir plus clair !
Les personnes souffrant de déficiences visuelles sont souvent confrontées à des difficultés dans leur vie quotidienne, car cela peut les empêcher d’atteindre leurs objectifs ou les obliger à trouver des solutions alternatives pour y parvenir. Cela étant dit, il est impossible d’ignorer le parallèle que l’on peut dresser avec la cybersécurité et les équipes opérationnelles. Les organisations doivent savoir clairement quels actifs elles gèrent, où vont leurs données et quelles sont les raisons de s’inquiéter. Malheureusement, de nombreuses équipes informatiques sont confrontées à diverses formes de perte de visibilité. Cela crée des angles morts dans lesquels les risques cyber et les activités malveillantes se développent. Corriger ces lacunes devrait être une priorité pour tout responsable informatique. En effet, l’impact financier et réputationnel d’une cyberattaque peut être significatif, et une compromission de données due à des lacunes en matière de visibilité informatique peut coûter des millions de dollars.
De la vision “tunnel” à la presbytie
Alors, à quoi ressemble une vision déficiente dans les services informatiques et de cybersécurité, et comment est-il possible d’y remédier ? De la vision “tunnel” à la presbytie : les problèmes de visibilité en cyber sont nombreux L’analogie avec la vision humaine est pertinente car il est possible de mettre en évidence plusieurs problèmes de visibilité informatique qui correspondent à des défauts bien connus de la vision :
- La vision “tunnel” : Les équipes IT sont tellement concentrées sur leurs propres produits, services ou données que tout ce qui est périphérique est rendu presque inexistant. Cela signifie qu’elles ne prêtent pas suffisamment attention à ce qui se passe en amont et à la manière dont cela peut affecter leurs opérations et la visibilité, ou à la manière dont des imprécisions ici et là peuvent affecter l’état des systèmes en aval. Ce type de vision étroite est souvent le résultat d’une multitude d’outils de gestion informatique cloisonnés, chaque équipe travaillant à partir de son propre ensemble de données, presque comme du shadow IT.
- La vision partagée : Ce problème, qui s’apparente à une vision étroite, est plus susceptible d’affecter les décideurs du comité de direction au sein d’une organisation. Le problème vient du fait qu’ils gèrent des priorités différentes qui s’appuient parfois sur des données contradictoires. Il n’y a pas de cohérence ni de clarté sur la manière dont ces priorités font partie du même objectif, ni même sur le fait qu’elles en font partie.
- La vision double : Cette situation peut également résulter d’un manque de données unifiées et cohérentes dans les services informatiques et de cybersécurité. Avez-vous déjà essayé de conduire avec deux systèmes de navigation GPS en même temps ? Ils risquent d’essayer de vous emmener dans des directions différentes, ajoutant du chaos et de l’incertitude là où il y a besoin de calme et de clarté. Une information précise et centralisée est le seul moyen de prendre des décisions en toute confiance.
- La vision floue : Lorsque trop de données circulent entre les équipes IT et cyber, les informations exploitables peuvent se perdre dans la masse des données. L’analogie peut être poussée plus loin. La myopie explique le problème des équipes informatiques qui se concentrent tellement sur les détails qu’elles ne voient que l’arbre qui cache la forêt. Les systèmes en aval et les objectifs actuels ne sont pas pris en compte. D’autre part, l’hypermétropie décrit les équipes qui comprennent la situation dans son ensemble – les objectifs stratégiques globaux – mais qui n’ont pas accès au niveau de détail nécessaire pour y parvenir.
- La presbytie : Des données anciennes sont des données floues. Bien que les informations concernant l’historique puissent aider à dégager des tendances, les tâches telles que la réponse aux incidents, la chasse aux cybermenaces et la gestion du changement nécessitent des données précises et pertinentes, donc récentes. Plus il faut de temps pour récupérer les données relatives à votre environnement informatique, moins elles vous seront utiles.
- L’astigmatisme : Enfin, il faut considérer cette cause de vision floue, qui se produit souvent en raison de divergences entre les courbes du cristallin à l’intérieur de l’œil. Dans le domaine de l’informatique et de la cybersécurité, il y a aussi souvent un décalage entre l’outil choisi et la tâche qu’il est censé accomplir. Prenons l’exemple de l’utilisation abusive des solutions de détection et de réponse des endpoints (EDR) pour inventorier les actifs. Comme les différentes équipes utilisent souvent leur propre outil, cela conduit une fois de plus à des versions différentes de cet inventaire et donc à une information qui n’est pas fiable.
Il ne suffit pas de voir, encore faut-il savoir quoi faire
Fondamentalement, les organisations ne peuvent pas gérer, protéger, sécuriser, administrer ou exploiter ce qu’elles ne peuvent pas voir correctement. Dans les cas les plus extrêmes, elles peuvent être confrontées à des angles morts importants dans leur environnement où certains actifs ne sont ni gérés, ni protégés. Mais il ne suffit pas de tout voir. Cela peut permettre de mieux connaître l’environnement informatique, mais pas nécessairement de faire preuve de sagesse, à moins que les équipes ne disposent du contexte dont elles ont besoin pour prendre des décisions éclairées. Elles peuvent repérer quelque chose de suspect, mais un administrateur qui accède à une base de données spécifique représente-t-il un risque que l’entreprise doit gérer ? Seul le bon contexte permet de l’affirmer. Ce type de prise de décision efficace nécessite d’avoir des équipes IT compétentes, mais cela dépend également des outils utilisés et de la capacité à disposer de données précises, complètes et pertinentes. Concrètement, une plateforme unique et centralisée pour la gestion du parc informatique permet de fournir non seulement une visibilité en temps quasi réel, à grande vitesse et à grande échelle, mais aussi le contrôle nécessaire pour prendre rapidement des mesures correctives. Plus vous en savez, meilleures sont les décisions que vous pouvez prendre.
Tim Morris, Chief Security Advisor, AMER chez Tanium