Concepts en méthodologie et certification

Temps de lecture : 5 min

Rappelons-nous l’objectif principal de la cyber sécurité, que l’on pourrait définir comme : protéger les métiers et les données de l’entreprise.

On peut dire que cet objectif n’a pas de fin définie dans le temps, nous devons donc travailler de manière itérative et agile.

Enfin, on peut également dire qu’aujourd’hui l’avantage est aux attaquants (opportunité des vulnérabilités, effet de surprise, moyens), ce qui signifie que nous devons également être réactifs et superviser en temps réel notre posture de sécurité.

Un mantra essentiel pour une personne qui travaille dans la cyber sécurité est donc le suivant :
préparation – agilité – résilience.

L’atteinte de nos objectifs ne peut donc se faire sans méthodologie, et c’est les bases de ces méthodologies que nous allons découvrir dans cette leçon.

Défense en profondeur

La défense en profondeur (Defense in Depth en Anglais) est un concept hérité du monde militaire (comme souvent en cyber sécurité), qui met en place différents mécanismes de défense indépendants et superposés, afin d’améliorer le niveau de protection global.

On peut retenir l’image d’un chateau fort du moyen âge, où le donjon était lui-même fortifié (porte blindée, fosses, murs très hauts, escaliers très étroits). Le donjon était lui-même entouré de murailles, très hautes, avec un chemin de ronde et des meurtrières. Ces murailles étaient-elles mêmes entourées de douves très profondes. Enfin le chateau était construit à un endroit avantageux pour la défense, par exemple en haut d’un colline.

La défense en profondeur est constituée de certaines notions importantes :

Les systèmes de défense doivent être indépendants, c’est à dire que si un système échoue, il ne doit pas entraîner les autres dans sa chute !
Les systèmes de défense ne sont pas forcément techniques, la gouvernance et les processus qui en découlent sont également très importants.
Les systèmes de défense doivent être le plus dynamique possible, c’est à dire qu’ils réagissent en cas d’évènement portant atteinte à ce qu’ils protègent.
Les systèmes de défense ne sont pas uniquement pensés pour empêcher l’attaque. Certains doivent aussi être présents pour qu’une attaque réussie ait le moins d’impact possible (détection, haute disponibilité, sauvegardes, processus de réponse à incident).

Le concept “zero trust”

“Zero trust” est un concept de cyber sécurité qui réunit plusieurs des bonnes pratiques déjà évoquées lors de ce cours.

Ce concept veut corriger certaines faiblesses qu’ont connu les mécanismes de protection dans le passé en accordant trop de confiance à certains éléments.

💡 Par exemple : il était communément admis dans le passé qu’un poste de travail se connectant au réseau de l’entreprise était forcément un poste de travail légitime.

Le concept “zero trust” se fonde sur trois grands piliers :

Vérification explicite : l’authentification ne doit pas se limiter aux utilisateurs, il faut authentifier tout ce qui accède aux services et aux données (terminaux, applications, etc.).
Principe du moindre privilège : donner des accès minimums pour accomplir les tâches.
Se préparer à l’incident : dans le concept “zero trust” on considère que l’incident de sécurité est inévitable et qu’il faut s’y préparer pour réduire l’impact au maximum et réagir efficacement.

Pour aller plus loin, n’hésitez pas à consulter le document de l’ANSSI : Avis scientifique et technique : le modèle Zero Trust

Le concept de la sécurité par l’obscurité

La sécurité par l’obscurité (security through obscurity) est un concept qui consiste à penser qu’il est plus difficile d’attaquer ce qu’on ne connaît pas

💡 Un exemple de sécurité par l’obscurité est quand certains algorithmes de cryptographie sont tenus secrets.

Globalement, il est difficile d’avoir une sécurité qui repose entièrement sur l’obscurité. On constate régulièrement que la diffusion publique de code source ou d’algorithmes cryptographiques permet aux chercheurs d’en trouver les vulnérabilités et de les corriger dans l’intérêt de tous.

Il faut donc plutôt intégrer l’obscurité dans notre gestion de la sécurité sans pour autant en faire une fin en soi.

💡 Par exemple, ne pas divulger de schéma d’architecture est une bonne pratique, car cela aiderait grandement les attaquants à se déplacer latéralement dans nos systèmes.

Référentiels et certifications

Comme nous venons de le voir, notre démarche de cyber sécurité doit être méthodique et fait appel à de nombreux concepts essentiels. C’est pourquoi pour faciliter le quotidien dans nos métiers, nous pouvons nous baser sur des référentiels, qui synthétisent toutes les bonnes pratiques et méthodologies. Il existe beaucoup de référentiels, et la plupart du temps c’est plusieurs de ces référentiels que nous allons mettre en oeuvre pour atteindre nos objectifs et respecter le principe de défense en profondeur.

Exemple de référentiels

Selon le type d’activité, voici parmi les plus reconnus des référentiels en cyber sécurité :

Généralistes :
Techniques :
- Guides de durcissement CIS Benchmarks
- Sécurisation des applications web OWASP
Sectoriels :
- Paiement : PCI Council Standards
- Hébergement Cloud : Référentiel SecNumCloud de l’ANSSI

💡 Par exemple, nous pouvons suivre le référentiel ISO 27002 pour notre gouvernance cyber sécurité, utiliser le référentiel EBIOS RM pour notre gestion des risques, et suivre plusieurs référentiels tel que le CIS Benchmark pour toutes les mesures techniques à mettre en oeuvre.

Importance de la certification

Pour certains des référentiels que nous venons d’aborder, il est possible de se faire auditer afin qu’un tiers détermine notre niveau de conformité par rapport au référentiel, et nous donne un certificat en attestant.

Si la certification ne doit pas être une fin en soi, une démarche de certification peut présenter des avantages :

Un auditeur impartial détermine notre conformité, et nous permet de continuer à améliorer notre posture (nous aider à éviter le biais d’encrage).
Cela peut permettre de mieux impliquer la direction de l’entreprise, premier “sponsor” de la cyber sécurité, et d’attester de la bonne progression de la posture de l’entreprise (engagement/résultat)
Mettre en avant ses certifications donne une image positive de l’entreprise aux yeux du grand public (assurance, publicité).

Pour résumer

Dans cette leçon, nous avons découvert qu’il est primordial de connaître les principes essentiels de la cyber sécurité, et d’appliquer la bonne méthodologie pour mettre en oeuvre une démarche de sécurisation continue efficace.

Pour nous aider dans ce but, nous pouvons compter sur l’aide de référentiels, qui nous guident dans l’adoption d’une posture cyber sécurité (gouvernance, prévention).

Une fois notre posture adoptée, nous pouvons encore une fois compter sur les référentiels pour nous aider à suivre les bonnes pratiques opérationnelles (réduction du risque, surveillance, résilience).

Commencez votre formation en cybersécurité !

Lancez votre carrière en cybersécurité et formez-vous au métier qui vous correspond. Notre plateforme en ligne vous permet de vous entraîner à votre rythme pour une montée en compétences rapide et efficace.

100% en ligne

Théorie & Pratique

Personnalisé par niveau

Commencez votre formation en cybersécurité

Formation

Carrière

Cybersécurité

100% en ligne

Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité

Concepts en méthodologie et certification

Sommaire

Défense en profondeur

Le concept “zero trust”

Le concept de la sécurité par l’obscurité

Référentiels et certifications

Exemple de référentiels

Importance de la certification

Pour résumer

Découvrez nos autres articles de blog

Les salaires des métiers de la cybersécurité | Guide 2023

Tout savoir sur les exercices de gestion de crises cyber – Guide 2023

Qu’est ce que IAM / AAA ?