Autres leçons de Steph Curry sur la sécurité d'entreprise : quand quelque chose ne va pas
Cet article a été initialement publié sur Forbes.com. Lisez la première partie de la série ici.
Dans première partie de cette série en deux parties, j'ai parlé des similitudes entre la protection d'actifs de grande valeur dans les espaces publics du monde réel et dans l'entreprise. Cela inclut la nécessité de comprendre la valeur des actifs, de savoir comment réduire les voies d'accès disponibles pour minimiser la surface d'attaque potentielle et d'utiliser des contrôles de sécurité sur les points d'accès.
J'ai utilisé une analogie qui tournait autour de Steph Curry, dont le fait de marquer à longue distance a obligé les équipes adverses à modifier leur tactique défensive. L'un des meilleurs tireurs de tous les temps, Curry a une valeur inégalée pour les Golden State Warriors. Insurveillable sur le terrain, comment le protégez-vous en dehors du terrain ?
J'ai peint un scénario dans lequel Steph prononce un discours dans un auditorium public, où un plan de sécurité est élaboré pour lui afin de verrouiller les portes latérales et une porte arrière de la salle et de restreindre l'autre porte arrière à lui et à son personnel porteur de badges. Cinq détecteurs de métaux protègent les portes d'entrée pour garantir la sécurité du site. Dans l'entreprise, vous utiliseriez la microsegmentation et le principe du moindre privilège pour réaliser l'équivalent dans un centre de données ou un environnement cloud.
Tout comme dans le monde réel, des problèmes de sécurité de dernière minute surgissent en permanence dans l'entreprise. Supposons que l'un des détecteurs de métaux présente des problèmes peu de temps avant le début de l'événement. Pour une raison ou une autre, il ne fonctionne pas correctement et il manque certains objets métalliques, ce qui signifie qu'il n'est pas fiable. Vous ne pouvez pas les réparer ou les remplacer parce que vous n'avez pas le temps. Si vous les fermez complètement, vous allez créer un encombrement important pour les détecteurs de métaux restants qui sont encore ouverts. Les gens seront coincés dans de longues files d'attente lentes, et beaucoup feront encore la queue au début de l'événement. Si vous maintenez les portes du détecteur de métaux ouvertes et que les agents de sécurité procèdent à des palpations physiques, vous risquez de manquer des armes cachées et de mettre Curry en danger. Il est clair que la protection de Curry l'emporte sur les inconvénients que subiront les participants.
Cela revient à découvrir une application ou un contrôle de sécurité présentant une vulnérabilité non corrigée dans une entreprise. La fermeture d'applications et de points d'accès critiques dans une entreprise pour des raisons de sécurité peut avoir de graves répercussions sur le trafic réseau, les flux de travail et les opérations commerciales, affectant ainsi la productivité, le service client et les résultats financiers à long terme. Si vous ne pouvez pas résoudre rapidement le problème (par exemple, corriger le logiciel), vous mettez en danger vos clients et votre entreprise.
Il existe d'autres options pour compenser de telles défaillances des contrôles de sécurité. Pour l'événement Curry, vous pourriez affecter plus de gardes aux détecteurs pour effectuer des palpations, mais même si cela peut aider à déplacer les lignes un peu plus rapidement, ils sont tout aussi susceptibles de rater des armes cachées.
Une autre idée est de demander aux gardiens des détecteurs de métaux cassés d'utiliser des baguettes manuelles pour détecter les objets métalliques. Cela peut augmenter l'investissement financier, mais cela constitue une solution de sauvegarde de sécurité solide et contribuera à satisfaire les participants. Dans l'entreprise, les équipes de sécurité ne peuvent pas attendre pour appliquer le correctif, mais elles peuvent utiliser la microsegmentation afin de créer un contrôle compensateur qui élimine la possibilité d'exploitation de la vulnérabilité.
Ces scénarios traitent des failles de sécurité d'un système de contrôle d'un actif, mais qu'en est-il si la vulnérabilité est associée à l'actif lui-même ? Supposons que l'un des badges VIP, qui donne un accès direct à Curry, soit porté disparu. Vous avez besoin d'un moyen d'identifier rapidement le problème et de le résoudre. Dans ce cas, des agents de sécurité munis de baguettes pourraient être ajoutés à l'entrée VIP.
L'essentiel est de comprendre les risques et d'être en mesure d'agir rapidement pour remédier à la vulnérabilité, sans arrêter les systèmes ni alourdir votre infrastructure. La seule information essentielle est que vous devez être en mesure de voir quelles voies existent (votre « exposition »), d'identifier si vous êtes vulnérable et de déterminer les mesures à mettre en place pour la compenser. Vous n'avez pas besoin de contrôles de sécurité partout. Vous pouvez déployer des ressources de manière efficace et les placer uniquement là où vous en avez le plus besoin : aux points d'accès aux actifs les plus critiques.
Les équipes de sécurité doivent prendre de telles décisions à la volée à tout moment, et plus elles ont accès à de données sur la situation, meilleures sont leurs décisions. De nouveaux outils sont disponibles pour aider les équipes de sécurité à se décharger de la charge et de la complexité liées à certaines de ces prises de décisions en temps réel et leur permettre de se concentrer plutôt sur la logique métier de haut niveau qu'elles souhaitent appliquer.
À l'avenir, il pourrait y avoir un moyen de résoudre le problème des détecteurs de métaux cassés sans avoir à remplacer ou à réparer manuellement les machines. Et si la plateforme matérielle devenait plus intelligente et que les détecteurs de métaux étaient programmables ? Les paramètres et fonctionnalités peuvent être adaptés en temps réel, y compris les mises à jour de sécurité logicielles. La microsegmentation fait de même pour les politiques et les contrôles de sécurité au sein de l'entreprise, ce qui représente un véritable casse-tête pour les professionnels de la sécurité.