Décryptage du code : Comment opérationnaliser le cadre des 8 éléments essentiels

Qu’est-ce que le cadre des huit éléments essentiels ? 

En novembre 2023, la Stratégie nationale australienne de cybersécurité a été mise à jour afin de refléter le passage d'une stratégie de “ défense ” à une stratégie de “ préparation ”. Ce changement stratégique concerne l'ensemble des secteurs d'activité et des organismes gouvernementaux australiens. Pour faciliter cette transition, la Direction australienne des signaux (ASD) a élaboré le cadre de conformité “ Essential 8 ”, composante essentielle de cette évolution de la stratégie nationale de cybersécurité. Ce cadre vise à aider les organisations à évaluer la maturité de leurs programmes de cybersécurité et de gestion des risques. Essential 8 comprend 148 contrôles répartis en 8 domaines technologiques fondamentaux clés afin de définir les normes de conformité.

Le défi d'intégration et de visibilité des 8 éléments essentiels

Microsoft a fortement influencé l'élaboration des 8 outils essentiels, et bien que cela ne soit pas explicitement mentionné, de nombreuses commandes sont liées à des technologies Microsoft. Il ne s'agit pas d'un point négatif ni d'une critique envers Microsoft ; je reconnais au contraire leur influence. Cependant, la réalité est que tous les gouvernements et entreprises ne disposent pas de produits Microsoft. Pour eux, la mise en œuvre des 8 outils essentiels présente plusieurs défis. 

Rapports de conformité continus 

Mettre en œuvre efficacement des rapports Essential 8 clairs et concis pour les environnements distribués peut s'avérer complexe. Les organisations doivent pouvoir rendre compte à la fois de leur niveau de risque à un instant donné et de leur statut en temps réel par rapport au référentiel Essential 8. Les solutions d'automatisation de la sécurité indépendantes des fournisseurs, telles que Swimlane Turbine, peuvent contribuer à relever ce défi de conformité. 

Tableaux de bord en temps réel pour l'Essential 8 

Pour compléter la problématique de la conformité, les organisations australiennes ont également besoin de tableaux de bord en temps réel capables d'établir une base de référence pour comprendre leur niveau de sécurité par rapport aux 8 critères essentiels. Il existe deux manières fondamentales d'alimenter un tableau de bord multifactoriel de ce type. 

1. Intégration et ingestion – Intégrer tous les systèmes et ingérer les données de télémétrie nécessaires pour établir des rapports conformes aux 8 contrôles essentiels et au cadre de maturité. 
2. Évaluation - Créez une évaluation automatisée servant d'échelle environnementale pour examiner le niveau de risque des 8 facteurs essentiels de votre organisation. Les réponses aux questions de l'évaluation alimentent ensuite le tableau de bord. 

Dans les coulisses du tableau de bord Swimlane Essential 8 

Nous avons examiné ces deux méthodes lors de la conception du tableau de bord Essential 8 de Swimlane pour nos clients australiens. Jetez-y un œil ! vidéo de démonstration De la part de mon ami et collègue, Gavin Coulthard, pour découvrir le résultat final. Si cela vous intéresse, poursuivez votre lecture pour découvrir d'autres points de vue et les leçons tirées de cette expérience. 

Les méthodes d'intégration et d'évaluation pour la création de tableaux de bord présentent chacune des avantages et des inconvénients. Nous avons opté pour la méthode d'évaluation afin d'établir rapidement un rapport de référence Essential 8. Cette évaluation personnalisée permet d'analyser les outils internes et les solutions tierces pour recueillir des informations sur l'infrastructure technologique existante et répondre à des questions basées sur l'intuition humaine. La capacité de Turbine à ingérer et interpréter la documentation a fait de ce processus d'évaluation une excellente option pour nous. Cet audit initial dure quelques jours et génère un rapport complet, incluant des données empiriques sur la maturité du cadre Essential 8. 

Des huit éléments essentiels aux cadres de conformité multiple 

La complexité de l'automatisation de la conformité et les enjeux de visibilité ne s'arrêtent pas aux huit exigences essentielles. De nombreuses entreprises et fournisseurs de services de sécurité gérés (MSSP) doivent se conformer à plusieurs référentiels de conformité. En tant que fournisseurs de solutions d'automatisation, notre défi suivant consistait à offrir à nos clients un système centralisé d'information pour l'ensemble de leurs référentiels de conformité. Notre objectif était de proposer une solution permettant aux clients de gérer l'ensemble de leurs exigences de conformité depuis une plateforme unique. Cela impliquait la capacité de comprendre et d'auditer chaque contrôle en fonction du cycle de vie spécifique de chaque référentiel. 

Nous avons donc bien cerné le défi, défini la source de référence et sommes prêts à passer à l'action. Je ne suis pas le spécialiste technique dans cette histoire ; ce rôle revient à mon architecte, Gavin Coulthard. Il a exploité les rapports préconfigurés de notre RSSI, qui a mis en place son propre environnement pour gérer sa conformité aux normes NIST, et en deux semaines environ, la solution d'automatisation de la conformité multiple a été développée. 

Qu'est-ce qui rend la solution d'automatisation de conformité multiple Swimlane unique ? 

Ça a l'air plutôt bien, et ça l'est, mais ce n'est pas si simple. Pour quiconque possède une solide expérience dans ce domaine, des questions évidentes se posent : n'existe-t-il pas déjà des produits qui font cela ? 

La réponse à cette question est oui et non. 

• Oui - Il existe des solutions de gestion de la conformité spécifiques. Presque toutes présentent un avantage certain en matière de conformité, car elles sont issues d'une approche sectorielle particulière. Ces solutions sont hautement spécialisées et conçues pour les secteurs où la législation en matière de réglementation impose leur adoption. Le secteur des services financiers en est un exemple classique : certains pans de l'industrie sont fortement réglementés et la conformité est un outil permettant de faire respecter cette législation. 
• Non La plupart des solutions ne visent pas à centraliser l'ensemble des cadres de conformité et des sources de télémétrie dans une vue unifiée. C'est précisément ce défi d'intégration, de corrélation et de simplification de la complexité qui constitue la force de Swimlane. La flexibilité et une interface utilisateur hautement personnalisable sont les deux qualités qui distinguent Swimlane Turbine de toute autre solution d'automatisation de la sécurité. Ce sont elles qui permettent à Turbine d'automatiser une grande variété de cas d'utilisation et d'offrir un retour sur investissement maximal.  

La conformité est là pour durer, alors automatisez-la. 

Nous n'en sommes qu'aux prémices de ce mouvement, et l'évolution du cadre réglementaire ne fera qu'accroître les coûts. Ce qui est extraordinaire avec la conformité, c'est que, si elle est bien intégrée et gérée, elle est aussi la clé de l'efficacité et du succès des organisations. Autrement dit, ce qui est perçu de prime abord comme une charge administrative nécessaire est en réalité la clé pour libérer le potentiel et l'efficacité d'une organisation.  
La clé pour exploiter ce potentiel réside dans une gestion de la conformité totalement intégrée et unifiée. L'automatisation de la sécurité est la solution. Pour en savoir plus, demandez une démonstration à l'adresse suivante : swimlane.com/demo