> Sécurité > Maintenez votre sécurité dans le temps

Maintenez votre sécurité dans le temps

Sécurité - Par Arnaud Lorgeron - Publié le 11 juillet 2017
email

Alors que les récents exemples d’attaques informatiques nous prouvent une fois encore que ce sont les anciens systèmes, les anciennes configurations, qui sont les plus vulnérables et les plus ciblés, revenons à nouveau sur le cycle de vie des SI et le nécessaire maintien du niveau de sécurité.

Maintenez votre sécurité dans le temps

Le MCS, Maintient en condition de Sécurité : c’est quoi ?

L’objectif du MCS (Maintien en Condition de Sécurité) est de collecter, agréger et synthétiser les informations traitant des évolutions de la menace et des vulnérabilités. Il s’agit également de qualifier le risque dans le temps et, bien entendu, il faut accompagner le déploiement des correctifs de sécurité.

Le MCS est complémentaire du Maintien en Condition Opérationnelle (MCO)

Une bonne stratégie de MCS permettra la maîtrise des risques de sécurité tout au long de la vie du projet considéré et le maintien dans le temps du niveau de conformité avec les exigences de sécurité (celles initialement définies et leurs évolutions ainsi que les nouvelles).

Il faut également caractériser les niveaux de risques de sécurité adaptés aux besoins du système. Enfin, des indicateurs sont nécessaires au suivi et à la prise de décision le cas échéant.

Il est donc impératif que le MCS s’articule au mieux avec le reste, c’est-à-dire les Métiers, MCO, PLM…

Le MCS nécessite une expertise dans l’assistance au déploiement de correctifs de sécurité, dans l’assistance à l’application de mesures de sécurité, et dans le traitement des incidents de sécurité.

– Pouvoir valider la sécurité des évolutions fonctionnelles et analyser les risques induits.

– Savoir tester les procédures opérationnelles liées à la sécurité.

– Former et sensibiliser à la sécurité les intervenants du MCO.

Le MCS s’impose tout particulièrement aux systèmes interconnectés, à ceux dont la menace liée au contexte extérieur est forte et évolutive, et il faut donc maintenir un bon niveau de sécurité intrinsèque mais aussi cohérent avec l’environnement.

Le MCS, une organisation

A travers l’II901, on prend conscience de l’objectif de gestion dynamique des mesures de protection, tout au long de la vie du SI.

Il est exigé de mettre en œuvre la SSI au quotidien, notamment grâce à des procédures écrites définissant les actes élémentaires du maintien en condition de sécurité lors des phases de conception, d’évolution ou de retrait d’un système. On prend la conscience du lien avec les concepts de privacy by design et de security by default récemment mis sur le devant de la scène par le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais).

Accessoirement, dans le cadre d’interventions réalisées par des tiers, il est demandé que tout contrat d’hébergement détaille les dispositions prises pour assurer le maintien en condition de sécurité des systèmes et permettre une gestion de crise efficace (conditions d’accès aux journaux, mise en place d’astreinte…). Et oui, n’oubliez pas les prestations externalisées. Comme pour une filiale, tout ce qui sort de votre champ de vision doit être considéré comme une vulnérabilité potentielle.

Un rapport d’information de Commission de la Défense Nationale et des Forces Armées liste des pistes d’évolution.

L’enjeu est de faire coïncider les ressources humaines et financières avec les besoins opérationnels. La problématique est tout à fait similaire dans un contexte industriel. Rester attentif aux évolutions du maintien en condition de sécurité est ainsi une nécessité universelle.

Complémentaire du MCO, le MCS est une composante incontournable appelé à se développer plus encore car de plus en plus de systèmes sont interconnectés.

Cette interconnexion est susceptible d’être la cible d’attaques informatiques.

Le maintien d’un haut niveau de protection nécessite une augmentation de la fréquence des mises à jour des correctifs de sécurité.

Il est essentiel de s’assurer de la réalisation d’opérations de maintenance régulières.

Le MCS, une pierre à l’édifice

Gérer les données c’est structurer, stocker/archiver, décrire, retrouver, versionner, tracer, partager et bien sûr protéger.

La problématique de l’interopérabilité induit de plus en plus de mécanismes automatiques. Partager, convertir, corréler… A bien y réfléchir, tout cela est encore récent et nourrit de nombreux paradoxes. Par exemple, l’information associe des comportements égoïstes de protection et une nécessité de partage pour être valorisée.

Petit à petit, il faut que le MCS tisse sa toile sur tout le SI, mais il faut aussi qu’il entre en symbiose avec le PLM et le PDM.

Grossièrement, le Product Lifecycle Management (gestion du cycle de vie produit) offre une vision globale orientée sur les modifications et les évolutions qui vont impacter le produit.

Le Product Data Management (gestion des données produit) est une sous-partie dédiée à la gestion des données de la conception.

La sécurité doit être partout, être entretenue, maintenue au niveau adéquat.

Pour cela, il faut contrôler son niveau, connaître sa réalité par rapport à des référentiels adaptés. C’est à cette condition que la sécurité pourra être améliorée, optimisée… C’est à cette condition que la sécurité pourra être efficace.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Sécurité - Par Arnaud Lorgeron - Publié le 11 juillet 2017