Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans le cadre des conseils pour l'adoption de la Confiance Zéro, cet article décrit le scénario métier consistant à prévenir ou à réduire les dommages commerciaux causés par une violation de cybersécurité. Ce scénario traite du principe directeur de la confiance zéro Supposer une violation, qui inclut :
- Réduire le rayon d'explosion et segmenter l'accès
- Vérifier le chiffrement de bout en bout
- Utiliser l’analytique pour obtenir une visibilité, générer la détection des menaces et améliorer les défenses
Avec les modèles d’infrastructure informatique hybride, les ressources et les données de votre organisation se trouvent à la fois localement et dans le cloud et dans les acteurs malveillants peuvent utiliser de nombreuses méthodes différentes pour les attaquer. Votre organisation doit être en mesure d’empêcher ces attaques autant que possible et, en cas de violation, réduisez les dommages de l’attaque.
Les approches traditionnelles qui se concentrent sur l’établissement d’une sécurité basée sur le périmètre pour les locaux, où vous faites confiance à tout le monde au sein du périmètre de réseau privé de votre organisation, ne sont plus pertinentes. Si un attaquant accède à votre réseau privé, il peut, avec les autorisations appropriées, accéder à toutes les données, applications ou ressources qu’il contient. Ils peuvent violer votre réseau en volant les informations d’identification de l’utilisateur, en tirant parti d’une vulnérabilité de sécurité ou en introduisant une infection par un programme malveillant. Ces attaques peuvent entraîner une perte de revenus et de primes d’assurance cyber, ce qui peut être un recul significatif pour la santé financière et la réputation du marché de votre organisation.
Forester a conclu ce qui suit pour 2021 :
- Près de deux tiers des organisations ont été violées au cours de l’année dernière, et cela leur coûte en moyenne 2,4 millions de dollars par violation. – Forester, le rapport 2021 sur les intrusions d'entreprise (avril 2022).
Avec le cloud, les acteurs malveillants n’ont pas besoin de violer physiquement votre périmètre de réseau privé. Ils peuvent attaquer vos ressources numériques basées sur le cloud depuis n’importe où dans le monde.
La santé et la réputation de votre organisation dépendent de votre stratégie de sécurité. Avec l’adoption généralisée des environnements d’entreprise basés sur le cloud et la croissance de la main-d’œuvre mobile, les empreintes de données existent au-delà des limites traditionnelles des réseaux d’entreprise. Ce tableau récapitule les principales différences entre la protection contre les menaces traditionnelle et moderne avec confiance zéro.
| Protection traditionnelle contre les menaces avec des contrôles de réseau privé | Protection moderne contre les menaces avec confiance zéro |
|---|---|
| La protection traditionnelle s’appuie sur la sécurité basée sur le périmètre, où vous faites confiance à tout le monde à l’intérieur du réseau privé. Les réseaux de périmètre peuvent inclure : - Petites segmentations réseau ou périmètres de sécurité et réseaux ouverts et plats. - Protection minimale contre les menaces et filtrage du trafic statique. - Trafic interne non chiffré. |
Le modèle Zero Trust déplace la défense du réseau des périmètres statiques basés sur le réseau pour se concentrer sur les utilisateurs, les appareils, les actifs et les ressources. Supposons qu’une violation peut et se produira. Les risques de sécurité peuvent exister à l’intérieur et à l’extérieur de votre réseau, vous êtes constamment sous attaque, et un incident de sécurité peut se produire à tout moment. Une infrastructure complète et moderne de protection contre les menaces peut fournir une détection et une réponse d’attaques en temps opportun. Réduisez le rayon d’explosion des incidents de sécurité avec des couches de protection qui, ensemble, réduisent l’étendue des dommages et la vitesse de propagation. |
Pour réduire l’impact d’un incident important, tous les éléments suivants sont essentiels :
- Identifier le risque métier d’une violation
- Planifier une approche basée sur les risques pour votre réponse aux violations
- Comprendre les dommages résultants à la réputation et aux relations de votre organisation avec d’autres organisations
- Ajouter des couches de défense en profondeur
Les conseils de cet article expliquent comment vous pouvez commencer à utiliser votre stratégie pour empêcher et réduire les dommages causés par une violation. Deux articles supplémentaires vous donnent les spécificités de l’implémentation de cette stratégie à l’aide des éléments suivants :
- Une infrastructure de prévention des violations de sécurité et de récupération
- Outils de protection contre les menaces et de détection et réponse étendues (XDR)
La première étape vers une posture de sécurité robuste consiste à déterminer comment votre organisation est vulnérable par le biais de l’évaluation des risques.
Évaluation des risques et de votre posture de sécurité
Lorsque vous décidez d’adopter une stratégie pour empêcher les violations et réduire les dommages causés par un, il est important de prendre en compte et de quantifier la métrique du risque. De façon stratégique, l’exercice de quantifier les risques vous permet de définir une métrique pour votre appétit pour le risque. Cela nécessite que vous effectuiez une évaluation des risques de référence, ainsi qu’une analyse des violations critiques pour l’entreprise susceptibles d’affecter votre entreprise. La combinaison de votre appétit pour le risque par rapport aux scénarios de violation que vous êtes prêt à traiter constitue la base d’une stratégie de préparation et de remédiation en cas de violations.
Notez qu’il est impossible de manière absolue d’empêcher les violations. Comme décrit dans le retour sur investissement de l'attaquant, l'objectif est d'augmenter progressivement les obstacles aux cyberattaques à un point où les attaquants contre lesquels vous êtes en mesure de vous défendre ou prêt à le faire n'obtiennent plus un retour sur investissement viable de leurs attaques. Le type d’attaques et la viabilité économique à défendre doivent être capturés dans le cadre de votre analyse des risques.
La réduction des dommages causés par une violation donne une énergie considérable aux options pendant et après la violation, ce qui permet à votre organisation de récupérer rapidement à partir d’une violation attendue ou d’un type de violation. Ces types de violation et la préparation à la récupération sont définis dans les sections suivantes de cet article.
La reconnaissance de l’intention de violation doit faire partie de votre préparation de violation. Toutes les violations ont un élément de malice ou d’intention criminelle attachée, mais les violations pilotées financièrement ont le potentiel de dommages beaucoup plus importants par rapport aux violations « conduites par » ou opportunistes.
Pour plus d’informations sur la posture de sécurité et l’évaluation des risques, consultez Moderniser rapidement votre posture de sécurité.
Exemples de risques par type d’entreprise
Les exigences métier dépendent de l’analyse des risques résultante pour votre type d’entreprise. Les rubriques suivantes décrivent plusieurs secteurs verticaux métier et expliquent comment leurs besoins spécifiques déterminent l’analyse des risques segmentée :
Exploitation minière
L’industrie minière s’intéresse davantage à la mine de l’avenir où les systèmes de technologie opérationnelle utilisent moins de processus manuels. Par exemple, il s’agit de l’utilisation d’Interfaces Homme-Machine (IHM) qui tirent parti d’une interface d’application pour accomplir des travaux et des tâches au sein d’une usine de fabrication. Étant donné que ces HMIs sont conçus comme des applications, les risques de cybersécurité pour ce secteur vertical peuvent être plus élevés.
La menace ne devient plus l’une des pertes de données ou le vol des actifs de l’entreprise. La menace devient l’un des acteurs externes qui utilisent le vol d’identité pour accéder aux systèmes critiques et interférer avec les processus de production.
Commerce de détail
Les principaux risques liés à la violation dans le secteur de la vente au détail peuvent survenir lorsqu’il existe plusieurs domaines pour plusieurs marques qui vivent dans le même locataire. La complexité de la gestion des identités locales ou cloud peut créer des vulnérabilités.
Secteur de la santé
Les principaux risques dans le secteur de la santé sont la perte de données. La divulgation non autorisée de dossiers médicaux confidentiels peut être une menace directe pour les données et les lois sur la confidentialité des informations qui sont réservées aux patients et aux clients et, en fonction des réglementations locales, peut entraîner des pénalités substantielles.
Secteur public
Les organisations du secteur public présentent les risques les plus élevés pour la sécurité des informations. Les dommages à la réputation, la sécurité nationale et la perte de données sont en jeu. C’est en grande partie la raison pour laquelle les organisations gouvernementales doivent s’abonner à des normes plus strictes telles que l’Institut national des normes et de la technologie (NIST).
Dans le cadre de votre préparation et réponse aux violations, tirez parti de Microsoft Defender Threat Intelligence pour rechercher et découvrir les types d’attaques et de vecteurs de menace les plus pertinents pour votre vertical.
Risques liés aux types d’attaques courants
La prévention ou la réduction des dommages de l’entreprise contre une violation de cybersécurité comprend la sensibilisation aux types d’attaques les plus courants. Bien que les types d’attaques suivants soient actuellement les plus courants, votre équipe de cybersécurité doit également connaître de nouveaux types d’attaques, dont certains peuvent augmenter ou les remplacer.
Identités
Les incidents de cybersécurité commencent généralement par un vol d’informations d’identification d’une sorte. Les informations d’identification peuvent être volées à l’aide de diverses méthodes :
Hameçonnage
Un attaquant se fait passer pour une entité de confiance et dupe les employés pour qu'ils ouvrent des e-mails, des messages ou des messages instantanés. Peut également inclure le hameçonnage par lance-hameçonnage, dans lequel un attaquant utilise des informations spécifiquement sur un utilisateur pour construire une attaque de hameçonnage plus plausible. Le vol d'identifiants techniques peut se produire lorsqu'un utilisateur clique sur une URL ou à la suite d'une attaque par hameçonnage MFA.
Vishing
Un attaquant utilise des méthodes d’ingénierie sociale pour cibler l’infrastructure de prise en charge telle que les support technique pour obtenir ou modifier les informations d’identification.
Pulvérisation de mots de passe
L’attaquant tente une grande liste de mots de passe possibles pour un compte donné ou un ensemble de comptes. Les mots de passe possibles peuvent être basés sur des données publiques sur un utilisateur, telles que les dates de naissance dans les profils de réseaux sociaux.
Dans tous ces cas, les compétences et l’éducation sont essentielles tant pour les utilisateurs, cible des attaques par hameçonnage, que pour les services d'assistance, cible des attaques par vishing. Les services d'assistance technique doivent avoir des protocoles en place pour authentifier les utilisateurs demandeurs avant d'effectuer des actions sensibles sur des comptes d'utilisateurs ou des autorisations.
Dispositifs
Les appareils utilisateur sont un autre moyen pour les attaquants, qui s’appuient généralement sur la compromission des appareils pour installer des programmes malveillants tels que des virus, des logiciels espions, des ransomwares et d’autres logiciels indésirables qui s’installent sans consentement.
Les attaquants peuvent également utiliser les informations d’identification de l’appareil pour accéder à vos applications et données.
Réseau
Les attaquants peuvent également utiliser vos réseaux pour impacter vos systèmes ou déterminer les données sensibles. Les types courants d’attaques réseau sont les suivants :
Déni de service distribué (DDos)
Attaques qui visent à surcharger les services en ligne avec le trafic pour rendre le service inopérable.
Protection contre l’écoute
Un attaquant intercepte le trafic réseau et vise à obtenir des mots de passe, des numéros de carte de crédit et d’autres informations confidentielles.
Injection de code et SQL
Un attaquant transmet du code malveillant au lieu de valeurs de données sur un formulaire ou via une API.
Script intersites (XSS)
Un attaquant utilise des ressources web tierces pour exécuter des scripts dans le navigateur web de la victime.
Comment les dirigeants d’entreprise pensent à empêcher ou à réduire les dommages d’entreprise d’une violation
Avant de commencer un travail technique, il est important de comprendre les différentes motivations pour investir dans la prévention et la réduction des dommages d’entreprise d’une violation, car ces motivations aident à informer la stratégie, les objectifs et les mesures de réussite.
Le tableau suivant fournit des raisons pour lesquelles les chefs d’entreprise d’une organisation doivent investir dans la prévention ou la réduction des dommages causés par une violation.
| Rôle | Pourquoi empêcher ou réduire les dommages subis par l’entreprise d'une violation est important |
|---|---|
| Chef de la direction (PDG) | L’entreprise doit être autorisée à atteindre ses objectifs stratégiques, quel que soit le climat de cybersécurité. L’agilité de l’entreprise et l’exécution de l’entreprise ne doivent pas être limitées en raison d’un incident ou d’une violation. Les dirigeants d’entreprises doivent comprendre que la sécurité fait partie des impératifs métier et de l’investissement dans la prévention des violations et la préparation aux violations est nécessaire pour assurer la continuité de l’activité. Le coût d’une cyber-attaque réussie et destructrice peut être beaucoup plus que le prix de la mise en œuvre des mesures de sécurité. |
| Directeur marketing (CMO) | La façon dont l’entreprise est perçue à la fois en interne et en externe ne doit pas être limitée en fonction d’une violation ou d’une préparation aux violations. Apprendre à préparer les messages et la communication en interne et en externe en réponse à une violation est une question de préparation. Une attaque réussie peut devenir une connaissance publique, potentiellement préjudiciable à la valeur de la marque, sauf si un plan de communication de violation existe. |
| Directeur informatique (CIO) | Les applications utilisées par votre organisation doivent être résilientes aux attaques tout en sécurisant les données de votre organisation. La sécurité doit être un résultat mesurable et alignée sur la stratégie informatique. La protection contre les violations et la gestion des violations doivent être alignées sur l’intégrité des données, la confidentialité et la disponibilité. |
| Chef de la sécurité des informations (CISO) | La sécurité doit être considérée comme un impératif stratégique pour les cadres dirigeants. La préparation et la réponse aux violations sont alignées sur l’obtention des stratégies métier principales, avec la sécurité technologique alignée sur l’atténuation des risques métier. |
| Directeur des opérations (COO) | Le processus de réponse aux incidents dépend du leadership et des conseils stratégiques fournis par ce rôle. Il est impératif que des actions préventives et réactives soient effectuées conformément à la stratégie d’entreprise. La préparation à une violation dans une posture de présomption de violation signifie que toutes les disciplines relevant du COO doivent fonctionner à un niveau de préparation, garantissant qu'une violation peut être isolée et atténuée rapidement sans interrompre votre activité. |
| Directeur financier (DIRECTEUR FINANCIER) | La préparation et l’atténuation des violations sont des fonctions des dépenses de sécurité budgétées. Les systèmes financiers doivent être robustes et peuvent survivre à une violation. Les données financières doivent être classifiées, sécurisées et sauvegardées en tant que jeu de données sensibles. |
Une approche confiance zéro résout plusieurs problèmes de sécurité résultant des violations de sécurité. Vous pouvez souligner les avantages suivants d’une approche Confiance Zéro avec vos dirigeants d’entreprise.
| Avantages | Descriptif |
|---|---|
| Assurer la survie | Selon la nature ou la motivation de l’attaquant, une violation peut être conçue pour avoir un impact significatif ou perturber la capacité de votre organisation à effectuer des activités commerciales normales. La préparation d’une violation améliore considérablement la probabilité que votre organisation survive à une violation conçue pour bloquer ou désactiver. |
| Contrôler les dommages à votre réputation | Une violation qui entraîne l’accès aux données confidentielles peut avoir des répercussions graves, telles que les dommages causés à la réputation de la marque, la perte de propriété intellectuelle sensible, l’interruption des clients, les amendes réglementaires et les dommages financiers à votre entreprise. La sécurité Zero Trust permet de réduire la surface d'attaque en évaluant, en surveillant et en analysant votre infrastructure informatique, aussi bien localement que dans le cloud. Une architecture Confiance Zéro permet de définir des stratégies qui sont mises à jour automatiquement lorsque des risques sont identifiés. |
| Réduire le rayon d’explosion au sein de votre organisation | Le déploiement d’un modèle Confiance Zéro peut aider à réduire l’impact d’une violation externe ou interne. Elle améliore la capacité de votre organisation à détecter et à répondre aux menaces en temps réel et réduit la zone d’attaques en limitant le mouvement latéral. |
| Démontrer une sécurité et une posture de risque robustes | Une approche confiance zéro permet de trier les alertes, la corrélation des signaux de menace supplémentaires et les actions de correction. L’analyse des signaux permet d’améliorer votre posture en évaluant votre culture de sécurité et en identifiant les domaines d’amélioration ou de bonnes pratiques. Toute modification de votre réseau déclenche automatiquement l’analyse de l’activité potentiellement malveillante. Vous bénéficiez d’une visibilité complète de toutes les ressources et ressources au sein de vos réseaux et de leur performance, ce qui entraîne une réduction globale significative de l’exposition aux risques. |
| Réduction des primes d’assurance cyber | Pour évaluer le coût de l’assurance cyber, vous avez besoin d’un modèle et d’une architecture de sécurité robustes et bien définis. En implémentant la sécurité Confiance Zéro, vous disposez d’un contrôle, d’une visibilité et d’une gouvernance avec une analyse en temps réel pour protéger votre réseau et vos points de terminaison. Votre équipe de sécurité peut détecter et surmonter les lacunes dans votre posture globale de sécurité et prouver aux assureurs que vous avez des stratégies et des systèmes proactifs. Une approche confiance zéro améliore également la cyber-résilience et peut même aider à payer pour elle-même en réduisant les primes d’assurance. |
| Augmenter l’efficacité et le moral de l’équipe de sécurité | Les déploiements confiance zéro réduisent les efforts manuels de votre équipe de sécurité en automatisant les tâches de routine telles que l’approvisionnement des ressources, les révisions d’accès et l’attestation. Par conséquent, vous pouvez donner à vos équipes de sécurité le temps et la télémétrie dont elles ont besoin pour détecter, dissuader et vaincre les attaques et les risques les plus critiques, à la fois en interne et en externe, ce qui renforce à leur tour le moral de l’équipe informatique et de sécurité. |
Pour plus d’informations à partager avec les dirigeants d’entreprise, consultez le livre électronique Réduire l'impact des acteurs internes ou externes.
Cycle d'adoption afin de prévenir ou réduire les dommages subis par l'entreprise en cas de violation
Cet ensemble d’articles décrit ce scénario métier à l’aide des mêmes phases de cycle de vie que le Framework d’adoption du cloud pour Azure : définir une stratégie, planifier, préparer, adopter et gérer, mais adapté à la confiance zéro.
Le tableau suivant est une version accessible de l’illustration.
| Définition de la stratégie | Plan | Prêt | Adopter | Gouverner et gérer |
|---|---|---|---|---|
| Résultats Alignement organisationnel Objectifs stratégiques |
Équipe des parties prenantes Plans techniques Préparation des compétences |
Évaluer Test Pilote |
Implémenter de manière incrémentielle dans votre écosystème numérique | Suivre et mesurer Surveiller et détecter Itérer pour atteindre la maturité |
En savoir plus sur le cycle d’adoption de Confiance Zéro dans la vue d’ensemble de l’infrastructure d’adoption zero Trust.
Pour prévenir ou réduire les dommages commerciaux provenant d'une violation, utilisez les informations contenues dans ces articles supplémentaires :
- Implémenter l’infrastructure de prévention des violations de sécurité et de récupération
- Implémenter la protection contre les menaces et XDR
Notez que les recommandations de déploiement pour ces deux pistes distinctes nécessitent la participation de groupes distincts de votre service informatique et les activités de chaque piste peuvent être effectuées en parallèle.
Étapes suivantes
Pour ce scénario métier :
- Implémenter l’infrastructure de prévention des violations de sécurité et de récupération
- Implémenter la protection contre les menaces et XDR
Articles supplémentaires dans le framework d’adoption de Confiance Zéro :
- Vue d’ensemble du framework d’adoption de confiance zéro
- Moderniser rapidement votre posture de sécurité
- Sécuriser le travail distant et hybride
- Identifier et protéger les données métier sensibles
- Répondre aux exigences réglementaires et de conformité
Ressources de suivi de la progression
Pour l’un des scénarios métier Confiance Zéro, vous pouvez utiliser les ressources de suivi de progression suivantes.
| Ressource de suivi de la progression | Cela vous aide... | Conçu pour... |
|---|---|---|
Grille de plan de scénario d’adoption téléchargeable fichier Visio ou PDF 
|
Comprenez facilement les améliorations de sécurité pour chaque scénario métier et le niveau d’effort pour les phases et les objectifs de la phase de plan. | Chefs de projet de scénario métier, dirigeants d’entreprise et autres parties prenantes. |
Jeu de diapositives PowerPoint téléchargeables pour le suivi de l'adoption du modèle Zero Trust. 
|
Suivez votre progression par les étapes et les objectifs de la phase de plan. | Chefs de projet de scénario métier, dirigeants d’entreprise et autres parties prenantes. |
Objectifs et tâches du scénario métier classeur Excel téléchargeable 
|
Attribuez la propriété et suivez votre progression à travers les phases, les objectifs et les tâches de la phase de plan. | Chefs de projet de scénarios métiers, chefs informatiques et implémenteurs informatiques. |
Pour obtenir des ressources supplémentaires, consultez l’évaluation de confiance zéro et les ressources de suivi de progression.