Les lois immuables de la sécurité

Les lois immuables originales de la sécurité ont identifié des vérités techniques clés qui ont mis en évidence les mythes de sécurité répandus de ces époques. Dans cet esprit, nous publions un nouvel ensemble complémentaire de lois visant à briser les mythes les plus répandus dans le monde actuel, où les risques de cybersécurité sont omniprésents.

Depuis les lois immuables d’origine, la sécurité de l’information est passée d’une discipline technique à une discipline de gestion des risques de cybersécurité, qui inclut le cloud, l’IoT et les appareils OT. Désormais, la sécurité fait partie intégrante de notre vie quotidienne en étant au cœur des discussions sur les risques commerciaux et les élections politiques.

Beaucoup d’entre nous dans le secteur ont suivi ce parcours vers un niveau d’abstraction plus élevé. Nous avons vu des modèles de mythes, de biais et d’incertitudes courants émerger au niveau de la couche de gestion des risques. Nous avons décidé de créer une liste de lois pour les risques de cybersécurité tout en conservant les lois d’origine (v2) en l’état (en utilisant désormais l’expression « intervenant malveillant », car elle est plus précise et plus inclusive).

Chaque ensemble de lois traite différents aspects de la cybersécurité, de la conception de solutions techniques solides à la gestion d’un profil de risque d’organisations complexes dans un environnement de menaces en constante évolution. La différence de nature de ces lois illustre également la difficulté à naviguer dans le domaine de la cybersécurité en général. Les éléments techniques tendent vers l’absolu, alors que le risque est mesuré en fonction de la probabilité et de la certitude.

Dans la mesure où il est difficile de faire des prédictions, en particulier pour l’avenir, nous pensons que ces lois peuvent évoluer en fonction de notre compréhension des risques de cybersécurité.

Dix lois sur les risques de cybersécurité

1. Le succès de la sécurité ruine le retour sur investissement de l’attaquant - Dans la mesure où la sécurité ne peut pas atteindre un état de perfection, dissuadez l’attaquant en perturbant son retour sur investissement (RSI), et en le dégradant. Augmentez les coûts à engager par l’attaquant, et diminuez son retour sur investissement pour vos ressources les plus importantes.
2. Ne pas suivre, c’est prendre du retard - La sécurité est un processus continu. Vous devez continuer à aller de l’avant, car il sera de moins en moins coûteux pour les attaquants de réussir à prendre le contrôle de vos ressources. Vous devez mettre à jour en permanence vos correctifs de sécurité, vos stratégies, votre connaissance des menaces, votre inventaire, vos outils, votre monitoring, vos modèles d’autorisation, votre couverture de plateforme et tout ce qui change au fil du temps.
3. La productivité l’emporte toujours - Si les mesures de sécurité ne sont pas conviviales pour les utilisateurs, ils les contournent pour accomplir leur travail. Vérifiez toujours que les solutions sont sécurisées et utilisables.
4. Les attaquants s’en moquent - Les attaquants utilisent toutes les méthodes disponibles pour s’introduire dans votre environnement, et accéder à vos ressources, par exemple les imprimantes réseau, les thermomètres connectés d’aquariums, les services cloud, les PC, les serveurs, les Mac ou les appareils mobiles. Ils influencent ou trompent les utilisateurs, exploitent les failles de sécurité liées aux erreurs de configuration ou aux processus opérationnels non sécurisés, ou demandent simplement des mots de passe via un e-mail d’hameçonnage. Votre travail consiste à identifier et supprimer les options trop simples, trop économiques et trop pratiques, par exemple tout ce qui permet d’octroyer des privilèges administratifs sur les systèmes.
5. Classer par ordre de priorité de manière impitoyable est une compétence de survie - Personne ne dispose de suffisamment de temps et de ressources pour éliminer tous les risques qui pèsent sur les ressources. Commencez toujours par ce qui est le plus important pour votre organisation, ou le plus intéressant pour les attaquants, et mettez continuellement à jour ce classement par ordre de priorité.
6. La cybersécurité est un sport d’équipe : personne ne peut tout faire, donc toujours se concentrer sur les choses que vous seul (ou votre organisation) pouvez faire pour protéger la mission de votre organisation. Si les fournisseurs de solutions de sécurité, les fournisseurs de cloud ou la communauté peuvent faire mieux ou moins cher, demandez-leur de s’en charger.
7. Votre réseau n’est pas aussi fiable que vous le pensez - Une stratégie de sécurité qui repose sur des mots de passe et la confiance en n’importe quel appareil intranet n’est que légèrement meilleure à l’absence de stratégie de sécurité. Les attaquants contournent facilement ces défenses. Le niveau de confiance de chaque appareil, utilisateur et application doit donc être prouvé et validé en permanence, en commençant par un niveau Confiance Zéro.
8. Les réseaux isolés ne sont pas automatiquement sécurisés - Bien que les réseaux sans connexions externes puissent offrir une sécurité solide quand ils sont correctement gérés, les exemples réussis sont extrêmement rares, car chaque nœud doit être isolé des risques externes. Si la sécurité est un enjeu suffisamment crucial pour nécessiter le placement des ressources sur un réseau isolé, vous devez investir dans des mesures d’atténuation afin de gérer la connectivité potentielle via des méthodes telles que les supports USB (par exemple pour l’application de correctifs), les ponts entre le réseau intranet et les appareils externes (par exemple les ordinateurs portables des fournisseurs sur une chaîne de production) ainsi que les menaces internes susceptibles de contourner tous les contrôles techniques.
9. Le chiffrement seul n’est pas une solution de protection des données - Le chiffrement offre une protection contre les attaques hors bande (par exemple les paquets réseau, les fichiers et le stockage), mais la sécurité des données dépend de la sécurité de la clé de déchiffrement (force de la clé + protections contre le vol/la copie) et des autres moyens d’accès autorisés.
10. La technologie ne résout pas les problèmes liés aux personnes et aux processus - Bien que le Machine Learning, l’intelligence artificielle et d’autres technologies offrent des avancées incroyables dans le domaine de la sécurité (quand ces technologies sont correctement appliquées), la cybersécurité est un défi humain, qui ne sera jamais résolu uniquement par technologie.

Référence

Lois immuables de la sécurité v2

• Loi #1 : si un acteur malveillant peut vous persuader d'exécuter son programme sur votre ordinateur, il ne s'agit plus uniquement de votre ordinateur.
• Loi #2 : si un acteur malveillant peut modifier le système d'exploitation de votre ordinateur, ce n'est plus votre ordinateur.
• Loi #3 : si un acteur malveillant a un accès physique illimité à votre ordinateur, ce n'est plus votre ordinateur.
• Loi #4 : si vous autorisez un mauvais acteur à exécuter du contenu actif dans votre site web, ce n’est plus votre site web.
• Loi #5 : les mots de passe faibles trompent la sécurité forte.
• Loi #6 : un ordinateur n'est sûr que si l'administrateur est digne de confiance.
• Loi n°7 : la sécurité des données cryptées dépend de la clé de décryptage.
• Loi n°8 : un scanneur de logiciels anti-malveillants obsolète n'est que marginalement meilleur que l'absence de scanneur.
• Loi n° 9 : L’anonymat absolu n’est pas possible en pratique, que ce soit en ligne ou hors connexion.
• Loi #10 : la technologie n'est pas une panacée.