Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

informations sécurité

Valoriser les informations sécurité issues des activités opérationnelles de la sécurité

Actuellement, vous avez, comme toute société disposant d’un système d’information, tout un ensemble d’équipements et de services de sécurité : firewalls, antivirus, proxies, antispam, VPN, … Tout cela vous remonte des informations sécurité sous forme de logs, d’alertes ou de rapports de fonctionnement. Peut-être disposez-vous-même d’un SIEM vous permettant d’agréger toutes ses informations pour vous aider à identifier les incidents de sécurité.

Toutefois, heureusement ou malheureusement, votre SI n’est pas la cible d’attaques régulières, du coup les informations sécurité remontées peuvent être limitées ou simplement mettre en évidence un fonctionnement nominal.

Il peut devenir intéressant, dans ce cas, de chercher à valoriser ces informations d’un point de vue business par exemple et plus seulement d’un point de vue opérationnel.

Pour parvenir à ce résultat, il est nécessaire de s’appuyer sur l’existant permettant de lier le métier à la sécurité : une analyse de risque, la politique de sécurité de l’organisation et / ou sur une expression des besoins de sécurité (bien sûr les 3 éléments sont liés dans la mesure ou il est souvent nécessaire de disposer de l’un des éléments pour définir les 2 autres)

Ensuite,  en plus des évènements de sécurité corrélés et de l’identification des vulnérabilités techniques Il est nécessaire de disposer également des vulnérabilités fonctionnelles et d’une analyse des activités métiers. En effet, comme nous voulons valoriser l’information sécurité à un niveau plus proche du métier, cela signifie recentrer l’analyse sur l’information traitée plutôt qu’uniquement sous le prisme purement IT.

Qu’entendons-nous exactement par une valorisation métier de l’information sécurité ? C’est s’assurer que nous sommes bien en phase avec les besoins des parties prenantes : par exemple, sommes-nous conforme avec une réglementation particulière, une norme de fonctionnement métier (Ex. : l’ASN est une autorité métier qui édicte des normes et pas des règlementations)? Certaines informations ou systèmes critiques sont-ils correctement protégés ? Y’a-t-il un risque d’indisponibilité particulier ?

L’intérêt est bien sûr de pouvoir répondre aux interrogations ou aux exigences du métier, et de nous permettre ensuite de mieux échanger avec lui et ainsi par exemple :

  • De justifier des mesures de sécurité en place (et des couts associés …)
  • D’identifier les évolutions de contexte et leur impact sur les besoins associés
  • De proposer des nouvelles mesures de sécurité
  • De mesurer le niveau de sécurité d’un point de vue métier
  • D’évaluer les risques de survenance d’incidents de sécurité
  • D’expliquer pourquoi et comment les incidents de sécurité se produisent

L’une des contraintes principales qu’il vous faudra toutefois prendre en compte est la modification de l’équation budgétaire, l’automatisation grandissante du traitement des données sécurité permettra de réduire les couts récurrents associés aux taches élémentaires d’exploitation, mais il faudra accepter une augmentation des couts associés à la valorisation recherchée, celle-ci reposant quasiment entièrement sur une plus grande expertise que ce soit de la part des interlocuteurs métiers comme de celle des intervenants SSI.

Êtes-vous prêt à faire le saut ?

 

CONIX

By | 2017-08-07T09:47:36+00:00 02/12/2011|Gouvernance, Pilotage de la sécurité, Technique|