Le piratage de la chaîne d’approvisionnement logicielle par SolarWinds, ainsi que la récente attaque de ransomware contre Colonial Pipeline, la société d’infrastructure énergétique critique, ont accru l’importance pour les gouvernements d’adopter une approche de la cybersécurité basée sur les risques.
A propos de l’auteur
Adam Vincent est co-fondateur et PDG de ThreatConnect.
Peu de temps après la divulgation de l’attaque SolarWinds, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a annoncé son projet de réduction des risques cybernétiques systémiques. Il s’agit d’un effort pour développer des mesures exploitables et quantifier les risques de cybersécurité dans les secteurs d’infrastructure critiques des États-Unis, en se concentrant sur la relation entre la menace, la vulnérabilité et les conséquences.
Peu de temps après, le National Cyber Security Center (NCSC) du Royaume-Uni a fourni des conseils et des conseils aux équipes de sécurité et aux sociétés informatiques sur les mesures à prendre pour minimiser l’impact sur eux et leurs clients. À l’aide d’outils tels que le Cyber Information Sharing Program (CiSP), ils ont partagé des informations techniques pour évaluer si une organisation était à risque et quelles mesures elle devrait prendre si c’était le cas. L’initiative de l’industrie et du gouvernement a permis aux organisations britanniques de partager des informations sur les cybermenaces dans un environnement sécurisé et confidentiel, offrant aux organisations la possibilité de détecter les avertissements précoces des cybermenaces et d’accéder à des rapports de surveillance de réseau gratuits adaptés aux besoins des organisations.
Le rythme et la sophistication croissants des attaques des États-nations, associés à une surface d’attaque en constante expansion résultant de la modernisation numérique continue, font de notre capacité à quantifier et à hiérarchiser avec précision les cyber-risques une mission urgente. La cybersécurité des infrastructures informatiques critiques doit adopter une stratégie de sécurité axée sur les risques et appuyée par un système de soutien opérationnel et décisionnel en temps réel pour garantir qu’elle peut atténuer les menaces futures. En fin de compte, cela permet de repérer plus facilement les menaces et les modèles d’attaque pertinents et d’obtenir le contexte nécessaire pour éclairer les stratégies de réponse.
Sommaire
Adopter une approche à trois volets
« Les conversations sur la cybersécurité ne peuvent plus se concentrer uniquement sur les contrôles informatiques, tels que la défense du réseau », a déclaré Bob Kolasky, directeur adjoint de la CISA pour le National Risk Management Center aux États-Unis. « Ces capacités techniques doivent être associées à de solides pratiques de gestion des risques : connaître vos principaux risques, comprendre la taille de votre surface d’attaque, évaluer la criticité de votre infrastructure numérique, puis utiliser cette prise de conscience pour renforcer les systèmes et augmenter la résilience de manière ciblée et hiérarchisée. manière. »
La cybersécurité ne peut plus être traitée comme un problème trop difficile à mesurer – il est impératif de réduire le cyber-risque. The Systemic Cyber Risk Reduction Venture adopte une approche à trois volets pour évaluer le cyber-risque au niveau national : construire l’architecture sous-jacente pour l’analyse du cyber-risque à l’infrastructure critique, développer des mesures de cyber-risque et promouvoir des outils pour traiter les sources concentrées de cyber-risque.
Ce nouveau processus de réduction des risques utilise l’approche dite de Rosetta Stone, qui traduit la nature technique de la sécurité dans le langage de l’entreprise ou de l’agence. En quantifiant le cyber-risque, les RSSI auront la capacité de traduire la cybersécurité dans un langage que les dirigeants d’agences non techniques peuvent comprendre et soutenir d’un point de vue politique, budgétaire et procédural. Comme de nombreuses entreprises, la plupart des agences gouvernementales ne savent pas quelle est leur exposition à un événement cybernétique donné, y compris les impacts potentiels en termes de perturbations opérationnelles, de coûts de réponse et de pertes secondaires. Cela se traduit généralement par un manque de concentration sur les risques qui comptent le plus pour l’organisation.
Un point de départ : les mesures du risque cyber
Le développement de mesures de cyber-risque fournira un point de départ aux entreprises du secteur privé, en particulier celles qui possèdent et exploitent des infrastructures critiques, pour élever le cyber-risque à leurs conseils d’administration et améliorer la prise de décision. L’attribution d’une valeur monétaire aux risques peut montrer aux parties prenantes quels sont les risques les plus importants, vérifier si l’organisation a mis en place des contrôles appropriés, estimer la perte financière potentielle si une attaque réussit et déterminer quel niveau d’investissement en sécurité est nécessaire pour répondre à la tolérance au risque de l’organisation .
La technologie automatisée de quantification des cyber-risques élimine les conjectures et permet des décisions commerciales transparentes et basées sur les données. L’automatisation de ce processus et sa prise en charge avec des renseignements en temps réel sur les cybermenaces éliminent les conjectures et les années d’erreur humaine de l’équation de quantification des cyberrisques. Les attaquants ne dorment pas. Votre agence et son infrastructure informatique non plus. Avec les trois fonctions fonctionnant de manière hyperdynamique, il ne suffit pas de prendre des instantanés ou de se fier à des calculs humains pour quantifier votre cyber-risque. La cybersécurité doit devenir un système d’aide à la décision qui fonctionne en temps réel plutôt que d’attendre de longs entretiens, formations et examens manuels. Cela nécessite une automatisation.
La quantification automatisée des cyber-risques est désormais une réalité et de nombreuses industries s’y fieront à l’avenir. Les agences gouvernementales doivent agir rapidement pour mieux comprendre leurs cyber-risques réels et hiérarchiser les efforts d’atténuation afin que les fonctions, applications et données critiques des agences soient protégées. Le Systemic Cyber Risk Reduction Venture est une première étape audacieuse dans l’amélioration de la cybersécurité du gouvernement et des infrastructures critiques, et le Royaume-Uni doit en prendre note et développer davantage ses politiques. Il ne fait aucun doute que le moment est venu d’introduire une quantification automatisée des cyber-risques, soutenue par des renseignements et une automatisation sur les menaces en temps réel.
