Le paysage des cybermenaces étant en constante évolution, les évaluations de routine de la cybersécurité sont un élément essentiel d'un programme complet de gestion des risques. À tout moment, votre entreprise doit surveiller la cyberhygiène de l'ensemble de son écosystème, y compris les fournisseurs tiers et de quatrième partie. Une évaluation des risques de cybersécurité vous aide à le faire en identifiant les cyberrisques qui affectent votre posture de sécurité, vous permettant de prendre des décisions plus éclairées sur la façon d'allouer des fonds pour mettre en œuvre des contrôles de sécurité et protéger le réseau. Examinons certaines des évaluations des risques de cybersécurité les plus courantes et les actions avec les outils que votre entreprise peut prendre pour mener une évaluation efficace :
Qu'est-ce que l'évaluation de la cybersécurité ?
Une évaluation de la cybersécurité est un processus qui détermine l'état actuel de la posture de cybersécurité de votre organisation et recommande des mesures d'amélioration. Bien qu'il existe de nombreux types d'évaluations, cet article se concentre sur NIST SP 800-115 : Implémentation des contrôles de sécurité pour les systèmes d'information fédéraux (ICS) - Méthodologie d'évaluation de la sécurité 2e édition (SAM2). L'objectif ici est de fournir des informations générales sur le fonctionnement de SAM2 afin que vous puissiez décider s'il convient à votre situation particulière.
Outils d'évaluation de la cybersécurité
Les outils d'évaluation de la cybersécurité évaluent la posture de cybersécurité de votre entreprise. L'évaluation consiste en une série de questions qui aident à déterminer la position actuelle de votre organisation en matière de cybersécurité, à identifier les risques et opportunités potentiels et à fournir l'occasion d'évaluer vos contrôles existants.
L'évaluation est conçue pour être complétée par un évaluateur externe qui n'a pas encore évalué votre organisation. Un rapport d'évaluation sera généré sur la base des résultats de l'évaluation, qui peut inclure des recommandations pour améliorer votre posture de cybersécurité.
Comment faire une évaluation de la cybersécurité ?
La première étape de la réalisation d'une évaluation de la cybersécurité consiste à comprendre la portée de votre projet. Une évaluation de la cybersécurité peut être définie comme une analyse qui prend en compte tous les aspects de la sécurité de l'information, y compris la sécurité des réseaux et des systèmes, le développement et la mise en œuvre d'applications, les modèles d'autorisation des utilisateurs (par exemple, l'authentification unique) et les politiques et procédures de gestion de la classification des données.
La portée de votre évaluation devrait inclure les éléments suivants :
- L'impact sur l'entreprise si une menace ou une vulnérabilité se produit ;
- Niveaux de risque actuels pour chaque domaine identifié ci-dessus ;
- Dans quelle mesure chaque zone protège-t-elle contre les menaces connues ? Si ce n'est pas le cas, identifiez les contrôles qui pourraient devoir être mis en œuvre en fonction des normes/meilleures pratiques actuelles de l'industrie ;
- Quels autres domaines nécessitent une attention? Par exemple : Avons-nous une capacité de surveillance suffisante pour notre trafic réseau ? Y a-t-il suffisamment de visibilité sur ce que les clients font en ligne dans le cadre de leurs activités quotidiennes sans passer par nous à chaque fois qu'ils se connectent ?
Liste de contrôle pour l'évaluation de la cybersécurité
Vous pouvez utiliser une liste de contrôle d'évaluation de la sécurité standard pour vous assurer que vous couvrez toutes les bases avec votre évaluation de la cybersécurité. Ceci est particulièrement important lorsque vous travaillez sur de grands projets et équipes, car cela réduit le temps nécessaire à chaque personne pour terminer sa partie du processus.
Voici un exemple de liste de contrôle que vous pouvez personnaliser et utiliser selon vos besoins :
- NIST 800-53 (Computer Security Framework) – Ce document définit les exigences minimales pour la gestion de la sécurité de l'information tout au long du cycle de vie d'une organisation. Il décrit cinq domaines de préoccupation : évaluation des risques, tests d'intrusion, élaboration et mise en œuvre d'un plan d'intervention en cas d'incident, élaboration et mise en œuvre d'un plan de gestion de la sécurité des installations, capacité de création/mise à jour de documents d'orientation des politiques.
Qu'est-ce qui est inclus dans une évaluation de la cybersécurité ?
Une évaluation de la sécurité est un processus qui utilise des outils et des techniques pour collecter des informations sur votre environnement réseau. Une bonne évaluation de la sécurité vise à garantir que les données, les systèmes et les applications de votre organisation sont aussi sécurisés que possible.
Une bonne évaluation de la sécurité comprend :
- Portée, calendrier et coût de l'évaluation ;
- L'équipe qui l'exécutera;
- L'approche utilisée pour le mener (par exemple, test d'intrusion ou analyse de vulnérabilité) ;
- Outils/techniques utilisés pendant les phases de collecte - tels que le balayage des ports ou le logiciel de fuzzing ;
- Les personnes recevant les résultats de cette activité - c'est-à-dire les utilisateurs finaux qui parcourent leurs machines une par une (pas besoin de journalisation manuelle), les partenaires/fournisseurs qui reçoivent des rapports directement de notre part via des pièces jointes aux e-mails.
Services d'évaluation de la cybersécurité
Une évaluation de la sécurité est une collecte systématique de données pour déterminer le niveau de risque et identifier les faiblesses de la sécurité des informations de votre organisation. L'objectif d'une évaluation de la sécurité est d'identifier les lacunes dans les processus et politiques actuels de votre organisation, ainsi que d'évaluer les vulnérabilités que les pirates pourraient exploiter.
Les évaluations de sécurité peuvent être effectuées à l'aide de logiciels open source tels que Nessus ou Qualys' Vulnerability Management Suite (VMS), qui vous donne un instantané de la configuration de votre réseau en ce moment, ou elles peuvent être externalisées (par exemple via des évaluations de cybersécurité). Ce procédé présente de nombreux avantages : il est moins cher ; il fournit une rétroaction en temps réel ; il n'y a pas de problème de verrouillage du fournisseur car vous avez accès à tous les outils à la fois, et si vous rencontrez des problèmes avec un outil particulier pendant la phase d'évaluation, il peut y en avoir un autre disponible gratuitement !
Exemple de rapport d'évaluation de la cybersécurité
Un rapport d'évaluation de la cybersécurité est un document qui décrit la posture de sécurité actuelle de votre organisation et ses lacunes. Il fournit également des recommandations pour améliorer la cybersécurité de votre organisation, y compris la mise en œuvre des meilleures pratiques et technologies.
Un rapport d'évaluation de la cybersécurité doit inclure les éléments suivants :
- Le but du rapport (par exemple, "Fournir des informations sur notre niveau actuel de protection")
- Une description du type d'informations qui seront incluses (par exemple, "Les sujets suivants seront couverts :")
- Une liste des références utilisées tout au long de ce document, y compris toutes les ressources externes qui ont été consultées lors de sa création (par exemple. "Le Dr John Doe a écrit cet article.")
Combien de temps dure une évaluation de la cybersécurité ?
Cela dépend de la taille de votre entreprise, du type d'évaluation que vous souhaitez effectuer et du temps dont vous disposez. La vitesse à laquelle chaque partie sera achevée a également un impact sur la rapidité avec laquelle vous pouvez obtenir des résultats d'un tiers, donc s'il tarde à répondre ou ne fournit aucun résultat, cela pourrait retarder d'autres projets. en cours de plusieurs jours ou semaines (selon le nombre de ressources impliquées). Si cela se produit, il est parfois préférable de réessayer avec un autre fournisseur jusqu'à ce que celui qui correspond à vos besoins se présente !
Qu'est-ce qu'une évaluation de sécurité NIST ?
NIST est l'Institut national des normes et de la technologie (NIST). Il s'agit d'une agence non réglementaire au sein du département américain du Commerce, ce qui signifie qu'elle ne fait pas de lois ni n'applique les réglementations gouvernementales. Au lieu de cela, le NIST crée et publie des normes pour les bâtiments, l'électronique et les logiciels, y compris les normes de sécurité de l'information !
Le mot « évaluation » fait référence à un processus d'évaluation dans lequel une organisation évalue son état actuel par rapport à un ou plusieurs critères ou objectifs spécifiés ; prend ensuite des mesures en fonction de ces conclusions. Une évaluation de la sécurité peut aider les organisations à connaître leurs vulnérabilités en examinant les violations passées ou les menaces actuelles posées par les cybercriminels ; déterminer s'ils disposent de ressources suffisantes pour empêcher de futures attaques ; identifiez les domaines où des améliorations pourraient être apportées afin que les pirates échouent à nouveau - et bien plus encore !
Quelles sont les trois étapes d'un plan d'évaluation de la sécurité ?
Une évaluation de la sécurité est un processus qui implique la collecte d'informations sur votre réseau et vos clients, la définition des objectifs de l'évaluation, la conception d'une approche de collecte de données provenant de différentes sources et l'analyse des résultats.
La première étape de toute évaluation de la sécurité est la planification. À cette étape, vous déciderez des informations à collecter pour évaluer la posture de cybersécurité de votre organisation. Vous voudrez peut-être également déterminer qui sera impliqué dans l'exécution de cette tâche et combien de temps il faudra à chaque personne (et à son équipe) pour l'accomplir.
Une fois votre plan créé, il est temps de l'exécuter ! Dans cette phase, toutes les tâches assignées lors de la planification commenceront à y travailler indépendamment ou ensemble, en fonction de leur niveau d'expertise.
Comment démarrer une évaluation de la cybersécurité ?
La première étape dans la définition des objectifs consiste à définir le problème. Cela peut être difficile si vous ne l'avez jamais fait auparavant, mais vous devez commencer par une compréhension claire de ce que votre organisation essaie d'accomplir et de son état actuel.
Une fois que vous avez défini le problème, il est temps de définir des résultats mesurables pour aider votre personnel à comprendre comment il progresse vers ces objectifs. Si possible, essayez de ne pas vous fier à la façon dont les autres perçoivent leurs performances. Vous devez toujours reconnaître les erreurs et les échecs en tant qu'individu ou membre de l'équipe (et ne vous oubliez pas !). Être ambitieux mais réaliste ira loin dans la réussite ici; pensez à des choses comme : « Je veux que les niveaux de forme physique des membres de mon équipe augmentent de 20 % au cours des six prochains mois ».
Outils gratuits d'évaluation de la cybersécurité
Des outils gratuits peuvent être utiles si vous recherchez un aperçu rapide de l'évaluation de la cybersécurité. Ils vous montreront des informations essentielles sur votre réseau et fourniront un aperçu de l'endroit où se trouvent les choses. Cependant, ces outils ne sont pas aussi détaillés ou fiables que les outils payants, ils ne vous donneront donc pas tous les détails sur la sécurité de votre environnement.
Les outils payants d'évaluation de la cybersécurité valent leur pesant d'or car ils vont plus en détail que les outils gratuits. Ils sont également beaucoup plus précis lors de l'évaluation des niveaux de risque dans différentes parties de l'infrastructure de votre entreprise (telles que les ordinateurs de bureau par rapport aux appareils mobiles).
Vous trouverez ci-dessous les meilleurs outils d'évaluation de la cybersécurité gratuits que vous devez consulter.
#1. Kali Linux
Kali Linux est un système d'exploitation populaire pour les tests d'intrusion, également connu sous le nom de piratage éthique. Il est basé sur Debian Linux et compte plus de 600 outils de sécurité préinstallés. Cela le rend idéal pour tester la sécurité d'un réseau ou d'une application Web.
Kali peut tester la sécurité d'un réseau ou d'une application Web en menant diverses attaques contre celui-ci (comme l'analyse des ports).
#2. Allez hameçonner
Go phish est une boîte à outils de phishing pour les testeurs d'intrusion et la formation de sensibilisation à la sécurité. Il offre la possibilité de créer des e-mails, des pages Web et des SMS d'hameçonnage réalistes pouvant être utilisés dans le cadre d'une évaluation ou d'une salle de classe.
L'outil a été créé par Adrienne Porter Felt, qui a également créé le populaire framework de test d'intrusion Metasploit Framework (MSF). Ce projet visait à permettre aux personnes qui n'ont pas une grande expérience en programmation de construire leurs outils sur les API de MSF sans avoir à apprendre d'abord comment ces API fonctionnent - et c'est précisément ce qu'ils ont fait !
#3. Défendre
Defending est un scanner de sécurité basé sur le Web qui utilise le Top 10 de l'OWASP pour vous aider à trouver et à corriger les vulnérabilités de vos applications Web. Il peut être utilisé pour les tests de pénétration et de sécurité des applications Web. Pourtant, il est écrit en Python et open source, donc si vous souhaitez en savoir plus sur ses fonctionnalités, consultez leur outstation sur GitHub !
#4. Aircrack-ng
Aircrack-ng est une suite d'outils qui peuvent être utilisés pour auditer les réseaux sans fil. Il est utilisé pour auditer la sécurité WiFi et récupère les clés réseau et les mots de passe.
L'outil a été initialement développé par Simon Paška, qui a constaté que le cryptage WPA/WPA2 était vulnérable aux attaques par déni de service (DoS) à l'aide d'un script automatisé appelé « Aircrack ». La première version d'Aircrack a été publiée en 2002 par Wichert Akkerman et Michal Zalewski.[4] En 2004, Mikko Hyppönen a créé une nouvelle version appelée Airmon qui prend en charge mon0 au lieu de mon0/1.[5] En 2007, aircrack-ng avait été intégré au plugin Linux Shodan de Kismet (initialement publié en 2006).
#5. Suite Rots
Burp Suite est une plate-forme intégrée pour effectuer des tests de sécurité des applications Web. Il contient une collection d'outils qui prennent en charge l'ensemble du processus de test, de l'interception et de la surveillance du trafic à la génération de rapports ding.
Burp Suite peut intercepter, manipuler et enregistrer HTTP et les demandes et réponses à la commande pour la sécurité du site Web ou de l'application. Il comprend des fonctionnalités telles que :
- Procuration - Injecte des charges utiles arbitraires dans les connexions réseau en direct sans autorisations spéciales ; également utile pour tester des tiers comme Twitter ou LinkedIn (qui nécessitent souvent des autorisations spéciales).
- Répéteur – Vous permet de répéter facilement les demandes plusieurs fois en utilisant différentes entrées ; utile lorsque vous essayez différentes combinaisons de paramètres/en-têtes, etc., par exemple, en changeant les paramètres GET entre deux URL différentes en répétant une requête plusieurs fois !
Résumé
En conclusion, il convient de noter qu'une évaluation de la cybersécurité est un processus qui aide les entreprises à évaluer leur vulnérabilité au piratage et au vol. L'évaluation comprend la réalisation d'un inventaire de votre infrastructure réseau, l'évaluation des risques liés à chaque système, le test des vulnérabilités de ces systèmes et développements, l'élaboration d'un plan d'action pour résoudre les problèmes avant qu'ils ne deviennent des problèmes plus importants. De plus, il est essentiel d'avoir une formation continue afin que les employés sachent comment se protéger au mieux contre les pirates qui pourraient tenter de voler des informations confidentielles des systèmes de votre entreprise.
FAQ sur l'évaluation de la cybersécurité
Qu'est-ce que l'évaluation de la cybersécurité ?
Une application de bureau autonome qui guide les propriétaires et les opérateurs d'actifs à travers un processus systématique d'évaluation des technologies opérationnelles et des technologies de l'information.
Qu'est-ce que la liste de contrôle pour l'évaluation des risques de sécurité ?
Fournit une liste des menaces affectant l'intégrité, la confidentialité et la disponibilité des actifs d'une organisation.
Comment réaliser une évaluation des risques cybersécurité en 5 étapes ?
- Étape 1 : Déterminer la portée de l'évaluation des risques
- Étape 2 : Comment identifier les risques de cybersécurité
- Étape 3 : Analyser les risques et déterminer l'impact potentiel
- Étape 4 : Déterminer et hiérarchiser les risques
- Étape 5 : Documentez tous les risques
- ÉVALUATION DES RISQUES EN CYBERSÉCURITÉ : tout ce que vous devez savoir
- CYBER EXTORTION : définition, couvertures et exemples
- SYSTÈME DE SÉCURITÉ D'ENTREPRISE : de quoi s'agit-il, types et coût
Bibliographie
