3 questions que les CISO devraient vraiment se poser

ciso-security-questions.jpg
L’objectif principal de tout Chef de la sécurité des systèmes d’information est de prévenir les conséquences de toute atteinte à la sécurité. Comme nous le savons bien, ceci est plus facile à dire qu’à faire. En fait, tout bon Chef de la sécurité des systèmes d’information doit arriver chaque matin au travail en pensant qu’une violation s’est déjà produite, et dans l’esprit qu’il doit corriger les vulnérabilités et sécuriser le système selon les standards les plus élevés. Jour après jour.

Toutefois, dans ce but, les Chefs de la sécurité des systèmes d’information doivent poser un certain nombre de questions à eux-mêmes, ainsi qu’à leurs équipes, et être prêts et préparés à y répondre afin de mettre en place les mesures les plus efficaces en matière de cybersécurité afin de protéger les données, les systèmes et les ressources en cas de violation.

1. Est-ce que mon organisation est sécurisée ?

La question peut paraître évidente, mais il y existe certains facteurs à prendre en compte. Premièrement, le Chef de la sécurité des systèmes d’information doit bien comprendre le goût du risque de l’organisation qui diffère selon les différentes organisations. Idéalement, toute lacune potentielle doit être protégée en tout temps. Mais les facteurs, tels que le budget, la structure, et la gestion des accès contribuent tous pour leur part à ce que le niveau de risque de l’organisation en question peut tolérer afin que ses affaires continuent de bien fonctionner.

Le Chef de la sécurité des systèmes d’information doit être en mesure de démontrer, sur la base d’évaluations actualisées des risques, de quelle manière les initiatives utilisées fonctionnent face aux vulnérabilités, réduisent la surface d’attaque et alignent la cybersécurité à travers l’organisation.

2. Est-ce que ma stratégie en matière de cybersécurité vaut l’investissement ?

Dans la limite des contraintes imposées par le budget et la taille de l’équipe, quelle est l’efficacité de la stratégie actuelle en matière de sécurité des TI ? Quelles sont les exigences minimums en matière de sécurité, et est-ce que je satisfais à ces normes ? Ou, si le budget actuel est insuffisant, comment puis-je quantifier les avantages d’augmenter le budget et présenter cela à la direction ?

Afin de s’assurer si les investissements dans une stratégie définie en valent la peine, il est utile pour le Chef de la sécurité des systèmes d’information d’avoir accès aux statistiques et aux rapports concernant les attaques précédentes qui ont lieu ailleurs dans d’autres sociétés ou environnements comparables, et de les analyser par rapport aux coûts (aussi bien financiers que d’une autre nature) occasionnés par une telle attaque dans leur propre organisation. Mais finalement, les mesures mises en place doivent être calibrées ? et adaptées avec les affaires et les normes sécuritaires en constante évolution alors que les réglementations futures seront mises en place par secteur et par région.

En gardant tout cela à l’esprit, le Chef de la sécurité des systèmes d’information doit avoir pleinement connaissance des options disponibles pour l’organisation afin de déterminer quelles politiques de sécurité ou quels outils correspondront le mieux aux besoins de l’organisation, et seront conformes aux réglementations comme le RGPD, la norme PCI DSS ou la directive NIS (Network and Information System Security), de la manière la plus simple et la plus coût efficace, et sans sacrifier la productivité.

3. Qui a accès à quoi ?

Les menaces internes figurent parmi les menaces les plus courantes qui affectent les organisations de toutes formes et de toutes tailles. Qu’elles touchent les employés de longue date, les membres de l’équipe travaillant à distance ou les fournisseurs externes, ces menaces ne résultent pas forcément de mauvaises intentions. Le simple fait de perdre un Post-it sur lequel sont écrits les identifiants de connexion suffit à paralyser un système sans que l’auteur ait la moindre idée qu’il est en train de mettre l’organisation en péril. En fait, 74% de tous les incidents liés à la sécurité sont à l’origine dus à des informations d’identification perdues ou dérobées. Mais les organisations perdent souvent la trace des comptes utilisateurs étant donné les mouvements de personnel ou le changement des rôles. Un outil de découverte de compte utilisateur constitue la première étape essentielle pour le Chef de la sécurité des systèmes d’information de comprendre où reposent les vulnérabilités de menace interne.

Mais en connaissant exactement qui a accès à ces éléments du système, et en s’assurant que ces personnes opèrent à un niveau de moindre privilège tout en étant toujours en mesure de faire leur travail, est un facteur essentiel pour maintenir une infrastructure IT sure, même (ou en particulier) dans de très grandes entreprises.

Gestion des accès à privilèges (PAM) est au cœur de ce défi, et figure parmi les méthodes les plus efficaces pour sécuriser l’infrastructure TI de l’organisation. C’est la raison pour laquelle le Bastion Wallix constitue un outil indispensable que les Chefs de la sécurité des systèmes d’information doivent avoir dans leur arsenal.

Avec une visibilité globale sur qui à accès à quelles ressources, et à quel moment, et le suivi de toutes les activités en vue d’un examen et d’une vérification, une robuste solution PAM résout les aspects les plus difficiles de l’infrastructure de sécurité TI.

Un bon contrôle d’accès augmente à la fois la productivité et la protection des systèmes et des données, ce qui constitue un équilibre difficile à atteindre lorsque l’on veut concilier l’efficacité et la sécurité. Cependant, WALLIX facilite le déploiement de la gestion de l’accès à privilèges sans interrompre les fonctions quotidiennes des affaires, et sans effort particulier à fournir d la part du personnel TI. En fin de compte, il offre un maximum de protection et une conformité avec les réglementations en matière de sécurité tout en maintenant une productivité optimale à travers l’organisation, et c’est que chaque Chef de la sécurité des systèmes d’information a besoin de savoir.

contenus associés

Décembre 26, 2023

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

3 questions que les CISO devraient vraiment se poser

1. Est-ce que mon organisation est sécurisée ?

2. Est-ce que ma stratégie en matière de cybersécurité vaut l’investissement ?

3. Qui a accès à quoi ?

contenus associés

Le RGPD existe depuis un an

Tensions internationales : comment gérer en urgence la mise en œuvre de mesures de cybersécurité adaptées ?

Garantir la conformité aux normes de sécurité grâce à la gestion des accès à privilèges (PAM)

Le guide du RSSI pour la conformité aux exigences de sécurité (avec une solution de PAM)

La rentrée en toute sécurité : les cyberattaques dans le secteur de l’éducation

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

3 questions que les CISO devraient vraiment se poser

1. Est-ce que mon organisation est sécurisée ?

2. Est-ce que ma stratégie en matière de cybersécurité vaut l’investissement ?

3. Qui a accès à quoi ?

Partager cet article

contenus associés

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS