Par : Christine Vanderpool
19 septembre 2019
On m’a récemment demandé pourquoi il y avait eu un pic d’alertes d’incidents au cours du mois actuel.
En donnant ma réponse, j’ai remarqué que je me concentrais sur les raisons derrière « pourquoi » les chiffres avaient augmenté et il m’est apparu que lorsque j’explique les risques, j’ai tendance à me concentrer sur le motif pour lequel un risque pourrait se produire.
Je crois que cela est dû à ma façon de penser. Même lorsque je parle ou que je demande à quelqu’un de faire quelque chose, je me concentre sur « ce qu’il y a pour lui », car je crois qu’en fin de compte, la plupart des gens ont besoin d’être motivés avant d’agir. Il doit y avoir une raison derrière toutes les choses et si nous comprenons la raison, nous pouvons aborder les moyens et les opportunités qui laissent ce motif une possibilité d’action.
Lorsqu’un crime est commis et est évalué au procès, le procureur est invité à fournir les moyens, le motif et l’opportunité du suspect de commettre l’infraction. La capacité de quelqu’un à commettre un crime est le moyen. La raison pour laquelle une personne commet un crime est le motif. La chance ou la disponibilité des ressources pour la réalisation du crime est l’opportunité.
C’est ainsi qu’en tant que RSSI nous pensons aux risques et à la façon de les aborder. Cela ne signifie pas qu’une façon de penser est meilleure, car pour être pleinement efficace, vous devez prendre en compte les trois facteurs, mais tous se dirigeront par défaut vers l’un des deux autres. Si vous êtes un RSSI, la question est la suivante : êtes-vous un RSSI de moyens, de motifs ou d’opportunités ?
Le RSSI « de moyens »
Si vous êtes un RSSI qui se concentre sur les « moyens » d’un risque, vous êtes très probablement un RSSI hautement technique avec une base et un arrière-plan techniques solides. Votre esprit aura tendance à penser immédiatement au « comment » d’une attaque. Vous vous attarderez sur les moyens techniques par lesquels une attaque se produirait ou pourrait se produire. Votre approche se concentrera sur les outils et les processus qui peuvent être utilisés pour se protéger contre ces moyens. Si vous faites le lien avec les cinq domaines du NIST, votre principal centre d’intérêt, ou votre point de mire, sera les domaines de « protection et de détection ». C’est un domaine très important sur lequel se concentrer, car si quelqu’un a un motif et une opportunité, mais pas de moyens avec lesquels réaliser son crime, vous devez vous demander si l’attaque aurait même lieu ?
Le CISO « motif »
Là où il y a une volonté, il y aura toujours un moyen. C’est ainsi que pensera le CISO « motivé ». Ce type d’esprit se concentrera sur le pourquoi une attaque pourrait se produire. Un CISO qui préfère se concentrer sur le « pourquoi » se concentrera sur la psychologie d’une attaque. Cette personne se concentre sur la zone d’identification du modèle NIST. Il examinera chaque « pourquoi » possible et déterminera ensuite les moyens et les possibilités de protection, de détection ou de réponse à une telle attaque. Cette personne pense généralement qu’il n’y a aucun moyen de connaître toutes les méthodes ou opportunités, alors au lieu d’essayer de tout arrêter, elle arrête ce qui est le plus probable sur la base de ce qui serait la raison la plus probable pour qu’une attaque soit menée. Si vous comprenez le pourquoi, alors vous verrez comment quelqu’un pourrait orchestrer une attaque et bloquer sa capacité à le faire.
Le CISO « opportunité »
Quand une porte se ferme, quelqu’un d’autre ouvre une fenêtre. Tel est l’état d’esprit du CISO » d’opportunité « . Ce type de leader de la sécurité se concentrera sur l’idée qu’il y a plus d’une façon de dépecer un chat. Il se concentrera sur les risques qui ne sont pas seulement de son ressort et sous son contrôle, mais aussi sur ceux qui se trouvent au-delà. L’accent sera mis sur la disponibilité de toutes les ressources à la disposition de l’attaquant. Ce RSSI se concentrera sur la réponse et la récupération d’autres organisations afin de s’assurer qu’il recueille toutes les données sur les diverses ressources disponibles ou les opportunités d’une attaque. Il s’inspire de l’expérience des autres et l’applique pour réduire les ressources disponibles susceptibles d’être utilisées dans une attaque. Enlevez à quelqu’un l’opportunité de faire du mal et il ne fera pas de mal.
La défense parfaite
En réalité, il n’y a pas de crime parfait et inversement, il n’y a pas de défense parfaite. Les trois facteurs doivent être pris en compte lors de l’élaboration d’une stratégie de sécurité et un RSSI doit se concentrer sur les trois. Il est important d’identifier, en tant que responsable de la sécurité, votre cible préférée ou par défaut en matière de risque, car vous pouvez alors identifier les domaines dans lesquels vous avez besoin de personnel pour compléter ou vous concentrer sur les deux autres. C’est comme un triangle. Il n’y a pas de bon ou de mauvais angle pour le regarder. Un RSSI expérimenté sera capable de voir et d’identifier les trois facettes dans la conception de sa stratégie. Il sera en mesure d’articuler la façon dont le programme aborde les moyens, le motif et l’opportunité en termes et moyens réalistes et exploitables.
Un axe n’est pas meilleur que l’autre, ils sont tous aussi importants. Il s’agit simplement d’une façon de penser et d’identifier la manière dont vous préférez regarder un risque en premier lieu.