Mise en œuvre d'un cadre de gestion des risques liés à la sécurité de l'information

Toutes les organisations sont exposées aux risques liés à la sécurité de l'information. Chaque responsable de la sécurité doit se rendre à l'évidence : les risques sont bien plus nombreux qu'il n'est possible d'en gérer raisonnablement. Dès lors, comment une équipe de sécurité détermine-t-elle les risques qui méritent son attention ?

Tout responsable de la sécurité doit se rendre à l'évidence : les risques de cybersécurité sont bien plus nombreux qu'il n'est possible de les gérer raisonnablement.

Dès lors, quels efforts faut-il déployer pour atténuer un risque donné ? Tous les risques ne requièrent pas le même niveau de ressources. Quelles contre-mesures sont appropriées ? Cadre de gestion des risques liés à la sécurité de l'information (ISRMF) propose une méthode pour répondre à ces questions importantes.

Qu’est-ce qu’un cadre de gestion des risques liés à la sécurité de l’information ?

Bien que les définitions varient, un ISRMF est généralement un ensemble de processus et de pratiques. Ce cadre permet aux responsables de la sécurité d'identifier leurs principales vulnérabilités et de déterminer comment les corriger.

Le cadre de gestion des risques du NIST en est un exemple éloquent. Il est obligatoire pour les agences fédérales soumises à la loi FISMA et aux réglementations connexes. Plus précisément, ces agences doivent suivre la publication spéciale 800-37 du NIST, intitulée “ Guide d’application du cadre de gestion des risques ”.”

Les cadres de référence comme celui du NIST reposent sur le principe que le risque ne peut jamais être éliminé. Il doit plutôt être géré. Autrement dit, un bon responsable de la sécurité consacrera un maximum de ressources à la protection de l'organisation contre les risques les plus graves. Le cadre du NIST propose six étapes pour atteindre cet objectif :

1. Catégoriser les systèmes d'information (NIST SP 800-60) – Implique de catégoriser les objectifs de sécurité (par exemple, la confidentialité, l'intégrité des données et la définition des niveaux d'impact comme élevés, faibles, etc.).
2. Sélectionner les contrôles de sécurité (NIST SP800-53) – Spécifie la mise en œuvre d'un niveau minimal de contrôles de sécurité.
3. Mettre en œuvre des contrôles de sécurité – Comprend la préparation des contrôles, la mise en place de méthodes et d'outils de détection et d'analyse des menaces, le confinement, l'éradication et le rétablissement des menaces ainsi que les processus de suivi post-incident.
4. Évaluer les contrôles de sécurité (NIST SP 800-53A) – Exige l’évaluation de l’efficacité des contrôles de sécurité par des méthodes telles que l’entretien avec les parties prenantes, ainsi que l’examen et le test des contrôles.
5. Systèmes d'information d'autorisation (NIST SP 800-37) – Examine les résultats de l’évaluation des contrôles de sécurité pour déterminer si le niveau de risque est acceptable ou non.
6. Surveiller l'état de sécurité (NIST SP 800-137 et SP 800-53A) – Définit une stratégie de surveillance continue, y compris la fréquence de surveillance, les indicateurs et les rapports.

Le sous-texte de l'ensemble du processus approfondit l'analyse de quatre facteurs de risque interdépendants :

• Menaces
• vulnérabilités
• Probabilités
• Impacts

A menace Une personne ou une technologie susceptible d'attaquer votre organisation (par exemple, un logiciel malveillant ou une attaque de phishing). vulnérabilité La menace survient lorsque les défenses de votre organisation contre cette menace sont insuffisantes (par exemple, un pare-feu défaillant). Probabilité il s'agit de la probabilité que l'attaquant exploite cette vulnérabilité. Impact Il s'agit de l'effet, généralement en dollars, d'une attaque réussie.

Autrement dit : quelle est la probabilité que vous subissiez un incident de sécurité avec un impact élevé (coûteux)Les mesures ayant un impact majeur méritent évidemment une attention particulière et des ressources plus importantes. Dans le cadre du NIST, la sélection, la mise en œuvre et l'évaluation des contrôles de sécurité s'articulent autour de cette question.

La sélection, la mise en œuvre et l'évaluation des contrôles de sécurité peuvent vous aider à déterminer la probabilité que votre organisation devienne victime d'un incident majeur.

Comment réaliser un ISRMF

La mise en œuvre d'un ISRMF implique de nombreux détails. Le cadre NIST comprend plusieurs publications spéciales décrivant comment l'implémenter. Cependant, malgré les nombreuses suggestions et bonnes pratiques fournies, deux capacités fondamentales rendent le reste possible : l'intégration et l'automatisation.

Intégration

L'intégration est essentielle à la mise en œuvre d'ISRMF car de nombreux systèmes distincts doivent collaborer pour atteindre les objectifs du cadre. Les pare-feu doivent communiquer avec les solutions de détection d'intrusion (IDS) et de gestion des incidents et événements de sécurité (SIEM). Les outils de surveillance de la sécurité sont plus performants lorsqu'ils sont intégrés aux bases de données de menaces et aux systèmes de détection spécialisés. Tous les éléments doivent être connectés aux outils de reporting, et ainsi de suite.

Les solutions de sécurité actuelles ont tendance à utiliser Spécification de l'API ouverte L'Open API est leur principal mode d'intégration. Elle décrit des fichiers d'interface de programmation (API) lisibles par machine, capables de décrire, produire, consommer et visualiser des services web RESTful. Il est possible de concevoir un service web RESTful et une API de A à Z, mais la spécification Open API simplifie la connexion de plusieurs applications logicielles.

Les outils de sécurité utilisant une API ouverte peuvent exposer relativement facilement des interfaces fonctionnelles entre eux. Un outil peut demander ou envoyer des données, ou encore invoquer une procédure depuis un autre outil, en utilisant la norme REST et des langages open source comme JSON, ainsi que des protocoles de transport courants comme HTTP.

Automation

Automation, L'autre fonctionnalité nécessaire à la mise en œuvre d'ISRMF permet d'exploiter les intégrations basées sur l'API. Un système ISRMF comporte tellement d'éléments interdépendants que l'automatisation est extrêmement utile pour le rendre accessible à une équipe de sécurité. Sans automatisation, ISRMF est souvent complexe à appréhender.

Automatisation et orchestration de la sécurité (SAO) et ISRMF

Automatisation de la sécurité et Orchestration Les outils SAO (Sécurité, Automatisation et Gestion des Risques) exploitent le potentiel de l'intégration et de l'automatisation pour un ISRMF (Integrated Security Risk Framework). Ils permettent aux équipes de sécurité d'automatiser les processus ISRMF chronophages et aux analystes de sécurité de concentrer leur expertise sur des tâches de gestion des risques plus subjectives et importantes.

Automatisation et orchestration de la sécurité Les outils (SAO) réunissent le potentiel d'intégration et d'automatisation pour un ISRMF.

Les fonctions d'intégration de SAO, qui utilisent généralement une API ouverte, permettent d'orchestrer des processus de sécurité automatisés sur plusieurs systèmes. Par exemple, dans le cadre de l'étape 3 du NIST, SAO peut être utilisé pour configurer la détection et l'analyse automatisées des menaces. Une solution SAO, telle que Swimlane, peut identifier un fichier binaire suspect dès son apparition sur le réseau, puis le comparer automatiquement aux menaces connues, sans intervention humaine.

Pour vérifier la présence d'une menace, Swimlane utilise son API ouverte afin d'envoyer le fichier binaire à une base de données tierce de renseignements sur les menaces. Cette base de données compare le fichier binaire suspect aux menaces connues. L'API Swimlane reçoit ensuite une réponse de la base de données. Si la menace est avérée, le moteur d'orchestration de Swimlane exécute alors une série d'actions automatisées : création d'un ticket, envoi d'e-mails aux parties prenantes clés, mise en quarantaine de la menace, mise à jour de la base de données, etc. Ainsi, Swimlane met en œuvre les concepts de l'ISRMF tout en évitant de surcharger l'équipe de sécurité.

Les outils SAO facilitent également la mise en œuvre des étapes ISRMF, notamment la surveillance et le suivi post-incident. Ils génèrent des journaux d'activité recensant les interventions effectuées. Cette approche globale permet un gain de temps considérable dans la collecte d'informations relatives à l'incident, en vue d'une utilisation ultérieure.

Comment Swimlane peut vous aider

Swimlane offre automatisation et orchestration de la sécurité Facile à mettre en œuvre et à utiliser, Swimlane est reconnu pour sa simplicité de gestion et son évolutivité. Il permet aux équipes de sécurité d'exploiter les capacités de leurs solutions de sécurité existantes afin d'enrichir les informations présentées. Associé à des capacités d'intégration basées sur une API ouverte, il constitue un outil puissant pour la mise en place d'un ISRMF (Integrated Security Framework Framework).

Pour en savoir plus sur Swimlane SAO, Planifiez une démonstration dès aujourd'hui.