En tant que professionnel de la sécurité de l’information, j’aime les designs élégants, d’autant plus que le compromis est une condition préalable au succès d’un responsable de la sécurité de l’information : en particulier, un compromis entre le niveau de sécurité et son coût au sens littéral le plus pratique . Une perception courante dans la communauté infosec est qu’il ne peut jamais y avoir trop de sécurité, mais il est entendu que « trop » de sécurité coûte cher – et parfois, de manière prohibitive – d’un point de vue commercial. Alors, où est cette ligne fine qui définit la sécurité « juste assez », combien est assez, et comment le prouver aux décideurs ? C’est de cela que je veux parler.
Mathématiques et images
Il existe une certaine barrière linguistique entre un responsable de la sécurité de l’information (CISO) et les décideurs mentionnés ci-dessus – je les appellerai « métiers » par souci de concision. Alors que les professionnels de la sécurité parlent de « mouvement latéral » et de « surface d’attaque », les entreprises considèrent l’infosec et le service informatique dans son ensemble comme des coûts à minimiser. Si les coûts de l’informatique sont visibles en matériel et en logiciel, il est difficile d’en faire autant avec le SI, car il s’agit d’une fonction purement appliquée profondément intégrée à l’informatique et difficilement perceptible à un haut niveau d’abstraction. J’aime décrire le SI comme l’une des nombreuses propriétés de l’informatique, un critère permettant de mesurer la qualité des systèmes d’information d’une entreprise. La qualité est généralement comprise comme ayant un prix. Théoriquement, les entreprises comprennent cela aussi, mais elles posent des questions valables :
Historiquement, les demandes de financement du SI ont été soutenues par toutes sortes d’histoires d’horreur : les entreprises entendront des histoires d’incidents de sécurité actuels, tels que des attaques de ransomwares ou des fuites de données, puis on leur dira qu’une certaine solution peut aider à contrer les menaces susmentionnées. Ces arguments sont étayés par des articles de publications pertinentes – et parfois pas tellement – contenant une description et une estimation approximative des dommages ainsi que les prix du fournisseur. Ce n’est qu’un début, et il n’y a aucune garantie que l’approche fonctionnera à nouveau, alors que nous sommes intéressés par un processus opérationnel en constante amélioration qui aidera à mesurer le paysage des menaces avec un degré raisonnable d’objectivité et d’une manière compréhensible pour les entreprises et adapter le système de contrôle de sécurité de l’entreprise en conséquence.
Je commencerai par souligner le fait que les humains ne sont pas particulièrement doués pour comprendre le texte brut. Les tableaux fonctionnent beaucoup mieux, et les images, mieux encore. Par conséquent, je recommande que votre conversation avec les entreprises sur la nécessité d’améliorer le système de gestion du SI soit illustrée par des diagrammes et des images colorés qui reflètent le paysage actuel des menaces et les capacités de la sécurité opérationnelle. La façon de réussir est de s’assurer que le jeu de diapositives montre les capacités de la sécurité opérationnelle – ou simplement, le SOC – comme étant à la hauteur des menaces actuelles.
Pour comparer le paysage des menaces avec les performances du SOC, les données doivent être exprimées dans les mêmes unités. L’efficience et l’efficacité du SOC ou de toute autre équipe – sans parler de celle qui a un accord de niveau de service (SLA) – sont constamment mesurées, il est donc logique de réutiliser les métriques du SOC pour évaluer la suffisance de la sécurité. Mesurer le paysage des menaces est un peu moins simple. Les menaces doivent être évaluées par un grand nombre de paramètres : plus nous évaluons de caractéristiques des attaquants potentiels, meilleures sont les chances d’obtenir une image impartiale. Je voudrais approfondir deux paramètres les plus évidents, qui sont assez faciles à calculer mais aussi faciles à expliquer sans recourir à des termes techniques complexes.
Temps moyen pour détecter une attaque
Malheureusement, une attaque complexe n’est souvent remarquée que lors de l’évaluation de l’impact, mais nos statistiques incluent un bon nombre d’entreprises matures qui ont détecté une attaque à un stade plus précoce, ce qui est favorable à notre évaluation. Nos analyses montrent que le temps de détection moyen diffère selon le scénario d’attaque, mais la planification des contrôles de sécurité doit utiliser le temps le plus court mesuré en heures.
En conséquence, le SOC est tenu de détecter et de localiser l’attaque dans le temps, ce qui est normalement exprimé par deux indicateurs : le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). Les deux doivent être inférieurs au temps moyen de l’attaquant pour atteindre la cible, quel que soit le type d’attaque.
Il est temps d’enquêter
C’est le deuxième attribut, tout aussi important, qui est évidemment lié à la durée de présence des attaquants dans l’infrastructure compromise.
L’équipe SOC doit avoir accès à cette valeur et aux ressources pour y répondre sans affecter la qualité du suivi.
Je pense que les indicateurs qui démontrent la (in)capacité de notre SOC à détecter la menace avant qu’elle n’aille assez loin pour causer des dommages sont beaucoup plus faciles à comprendre pour les entreprises. Combinés à de nombreux autres indicateurs, tels que « la capacité de notre SOC à détecter des techniques et des outils d’attaque spécifiques » ou « la capacité de notre SOC à surveiller des vecteurs de pénétration spécifiques », ceux-ci aident à former l’évaluation la plus impartiale de la préparation opérationnelle du SOC et à fournir de meilleurs arguments pour des affaires en faveur d’un investissement dans une zone de sécurité.
Utilisation des sources
Une fois que nous avons choisi les indicateurs à démontrer aux entreprises, la question se pose de savoir d’où obtenir les données. Les membres des équipes de sécurité opérationnelle qui ont accumulé leurs propres statistiques de détection d’incidents et d’enquête répondront immédiatement qu’un examen des cas passés devrait servir de source d’indicateurs pour l’évaluation. Le résultat de l’enquête montrera les attentes de temps des attaquants et leurs méthodes, tandis que les mesures SOC fourniront une évaluation impartiale de l’efficacité et de l’efficience des défenseurs. Les deux types d’indicateurs seront directement liés à l’entreprise, plutôt que d’être des évaluations abstraites.
Quant à ceux qui n’ont pas encore accumulé de statistiques et d’expérience, je vous recommande d’utiliser les analyses des fournisseurs et des MSSP. Il va sans dire que les statistiques du fournisseur doivent être représentatives du secteur et du pays dans lequel le client opère plutôt que de contenir toutes sortes de données non pertinentes. Les sources de données externes pourraient également profiter aux employés expérimentés qui s’appuient sur leurs propres données. Ceux-ci peuvent servir de source d’informations sur les nouvelles menaces, qui sont déjà pertinentes pour l’industrie dans son ensemble mais n’ont pas encore attiré l’attention des employés SOC de l’organisation spécifique. De plus, des données externes fourniront une base pour comparer les performances de l’entreprise avec celles des prestataires de services afin de réévaluer la capacité de l’entreprise à effectuer le travail avec des ressources internes par rapport au besoin d’externalisation.
Répondre à la question
Le coût réel de la sécurité requise est la différence entre les capacités des attaquants et les ressources de l’équipe SOC, à condition que les premières soient évaluées en termes d’incidents réels et de statistiques pertinentes, et les secondes, en termes de métriques SOC. Les MTTD et MTTR susmentionnés fonctionneront mieux, car ils sont plus faciles à comprendre pour les entreprises que le modèle de maturité SOC ou d’autres arguments académiques. Selon moi, c’est la combinaison de métriques opérationnelles basées à la fois sur les travaux antérieurs des équipes de l’entreprise et sur les rapports d’analyse des prestataires de services informatiques qui peuvent aider à atteindre le juste équilibre, aboutissant au niveau de performance et d’efficacité souhaité à un coût acceptable. à long terme, ou en un mot, en beauté.
