Tout comme les gens ont des empreintes digitales uniques, chaque entreprise a son empreinte numérique unique. Même en cas de chevauchement, les entreprises fournissent des produits différenciés, établissent des infrastructures informatiques personnalisées et collectent leur propre ensemble de fournisseurs tiers. Alors qu’une grande entreprise peut fournir des services via un cloud privé, les petites startups peuvent utiliser une infrastructure de cloud hybride sur site / public. Bien qu’il n’existe pas d’approche unique en matière de cybersécurité, ces six stratégies peuvent vous aider à créer une approche » juste » pour élaborer votre liste de contrôle d’évaluation de la cyber-vulnérabilité.
- Qu’est-ce qu’une évaluation de la cyber-vulnérabilité?
- Quels sont les avantages d’une évaluation de la cyber-vulnérabilité?
- 6 stratégies pour développer votre évaluation de la cyber-vulnérabilité
- Aligner les stratégies commerciales et informatiques
- Identifiez vos ressources informatiques
- Identifier les risques inhérents
- Définir et surveiller les niveaux de tolérance au risque
- Examiner les risques de contrôle
- Mettre en place un programme de surveillance et d’assurance en continu
- Comment SecurityScorecard permet l’évaluation des vulnérabilités cybernétiques
Qu’est-ce qu’une évaluation de la cyber-vulnérabilité?
Une évaluation de la cyber-vulnérabilité, également appelée évaluation de la sécurité, commence par identifier les réseaux informatiques, le matériel, les logiciels et les applications d’une organisation, puis procède à des tests de pénétration ou à des analyses de vulnérabilité pour déterminer le risque de sécurité de l’information associé aux actifs informatiques, y compris, mais sans s’y limiter, la sécurité du réseau et la sécurité des applications Web.
Quels sont les avantages d’une évaluation de la cyber-vulnérabilité?
Après avoir identifié et évalué les menaces potentielles dans le cadre de l’évaluation de la cyber-vulnérabilité, l’organisation peut s’engager dans des stratégies de remédiation qui renforcent sa posture de cybersécurité et mûrissent sa posture de conformité. En outre, les exigences de conformité en matière de cybersécurité obligent de plus en plus les organisations à surveiller en permanence les faiblesses de contrôle et les nouvelles menaces qui affectent leurs profils de sécurité et de conformité.
Développer votre évaluation de la cyber-vulnérabilité signifie comprendre les risques qui affectent le plus directement votre entreprise. Cependant, étant donné que les acteurs malveillants ciblent les organisations en fonction de divers facteurs, vous devez développer une évaluation personnalisée de la cyber-vulnérabilité.
6 stratégies pour développer votre évaluation de la cyber-vulnérabilité
Aligner les stratégies commerciales et informatiques
Chaque évaluation de la cyber-vulnérabilité doit commencer par les objectifs commerciaux à long terme de l’entreprise. La communication entre le secteur d’activité et les services informatiques doit être une activité continue. Une entreprise de commerce électronique qui opère principalement aux États-Unis peut avoir besoin de répondre aux exigences de sécurité dictées par le California Consumer Protection Act (CCPA) ou le New York Stop Hacks and Improve Electronic Data Security (SHIELD) Act. Cependant, si vous envisagez d’étendre vos activités et de vous concentrer sur les clients européens, vous devez également discuter avec votre service informatique des exigences de sécurité du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Veiller à ce que toutes les parties prenantes internes communiquent dans le cadre du processus d’évaluation de la vulnérabilité en matière de sécurité de l’information est fondamental pour obtenir des résultats efficaces en matière de sécurité et de conformité.
Identifiez vos ressources informatiques
Bien que cela semble être une première étape évidente, de nombreuses organisations ont du mal à identifier tous les réseaux, matériels, logiciels et actifs informatiques basés sur le cloud. À mesure que les organisations adoptent la transformation numérique, elles augmentent le nombre, le type et l’emplacement de leurs actifs numériques. Tout aussi important, les organisations qui fusionnent avec ou acquièrent d’autres entreprises doivent intégrer ces nouveaux actifs dans le cadre de leur évaluation de la cyber-vulnérabilité.
Les organisations ont souvent du mal à surveiller leurs ressources basées sur le cloud, car l’évolutivité du cloud signifie que le nombre de charges de travail et d’objets peut changer à tout moment. L’identification de tous les actifs basés sur le cloud peut être écrasante pour les organisations qui tentent de faire évoluer leur activité tout en protégeant leurs données contre les acteurs malveillants.
Identifier les risques inhérents
Un risque inhérent est le risque associé à un type d’entreprise ou d’industrie. Par exemple, les risques inhérents associés à l’industrie manufacturière sont le SCADA et l’Internet industriel des objets (IIoT). Pendant ce temps, les risques inhérents au commerce électronique se concentrent sur les données des détenteurs de cartes et la ségrégation du réseau.
Un autre risque inhérent peut être l’emplacement géographique de votre organisation. Par exemple, la recherche global cybersecurity insights a indiqué que les risques de sécurité des réseaux étaient plus importants dans les pays européens que dans les pays nord-américains. Bien que vous ne puissiez pas modifier facilement l’emplacement géographique de votre organisation, vous pouvez prioriser les risques inhérents les plus importants pour une posture de sécurité renforcée.
Définir et surveiller les niveaux de tolérance au risque
La tolérance au risque d’une organisation est basée sur la capacité de l’entreprise à gérer ou, dans la plupart des cas, à se protéger contre le risque identifié. Les organisations peuvent choisir d’accepter, d’atténuer, de transférer ou de refuser un risque en fonction de leur structure d’entreprise et de leurs ressources. Cependant, dans le cadre de votre évaluation de la cyber-vulnérabilité, vous devez constamment revoir vos niveaux de tolérance au risque.
Par exemple, à mesure qu’une organisation met à l’échelle ses opérations commerciales, elle peut ajouter davantage de ressources basées sur le cloud. Une entreprise qui a déjà accepté certains risques, tels que l’utilisation d’outils de sécurité open source, peut constater qu’elle doit acheter des outils ou embaucher plus de personnel informatique pour atténuer les nouveaux risques.
Examiner les risques de contrôle
Les risques de contrôle sont souvent associés aux examens manuels. Bien qu’un contrôle faible puisse être numérique, tel qu’un pare-feu non corrigé ou un compartiment AWS S3 exposé, la raison pour laquelle le contrôle faible existe réside souvent dans une erreur humaine. Un administrateur informatique dépassé peut avoir oublié de mettre à jour le pare-feu ou un développeur a oublié de modifier les paramètres de configuration du compartiment S3.
Dans le cadre de votre examen des risques de contrôle, vous souhaitez commencer par examiner toutes les tâches manuelles. Souvent, l’automatisation de ces tâches peut entraîner moins de risques de contrôle.
Mettre en place un programme de surveillance et d’assurance en continu
Les acteurs malveillants font évoluer leurs méthodologies de menace. Les logiciels malveillants et les ransomwares sont deux des vecteurs de menace les plus courants que les acteurs malveillants utilisent pour accéder aux réseaux, aux systèmes et aux logiciels. Bien que les exploits de vulnérabilités non découvertes auparavant, ou attaques « jour zéro », fassent la une des journaux, ces attaques demandent également beaucoup de temps et d’efforts. La plupart des programmes malveillants et ransomwares sont des évolutions du code précédemment connu. Dans certains cas, les acteurs malveillants peuvent simplement acheter les virus sur le dark Web. Dans d’autres cas, ils peuvent simplement modifier des programmes connus. De toute façon, ils sont peu coûteux et faciles à déployer.
Dans cet esprit, les contrôles qui protègent efficacement votre organisation aujourd’hui pourraient ne pas atténuer les risques demain. En combinaison avec votre contrôle des risques et votre examen manuel des tâches, vous souhaiterez peut-être vous engager dans une solution de surveillance continue automatisée qui vous alerte sur les nouveaux risques, hiérarchise les risques pour vous et vous aide à y remédier plus rapidement afin de mieux protéger votre organisation.
Comment SecurityScorecard permet l’évaluation des vulnérabilités cybernétiques
La plate-forme d’évaluation de la cybersécurité de SecurityScorecard fournit un aperçu » en un coup d’œil » de la posture de sécurité de votre organisation. En utilisant une variété d’informations accessibles au public sur Internet, notre plateforme évalue l’efficacité de vos contrôles à l’aide d’un système de notation A à F.
Nous surveillons dix facteurs, notamment la santé DNS, la réputation IP, la sécurité du réseau et la sécurité des applications Web. Nous vous fournissons non seulement une évaluation globale, mais nous vous permettons d’explorer les dix facteurs afin que vous puissiez avoir un aperçu de vos zones les plus vulnérables.
Notre automatisation réduit le risque d’erreur humaine associé aux tâches manuelles, telles que les révisions de journaux accablantes. Avec les évaluations de sécurité de SecurityScorecard, vous pouvez hiérarchiser vos activités de sécurité, documenter vos étapes de correction et prouver la gouvernance de votre programme de cybersécurité.