Trouver le juste équilibre entre conformité et sécurité

Introduction

« Il ne suffit pas d’atteindre le niveau minimum de conformité aux normes de sécurité auxquelles une organisation est soumise. » — Daniel Griggs

La citation ci-dessus illustre à quel point il est essentiel que les organisations mettent en place des mesures de cybersécurité robustes, puis les entretiennent au quotidien pour préserver leur conformité. Et cela recouvre naturellement la sécurité des appareils, des utilisateurs et des données.

Dans cette nouvelle édition de notre article, nous allons explorer les principes fondamentaux de la conformité en matière de cybersécurité, et plus précisément :

• Définir le rôle de la conformité en cybersécurité
• Rappeler l’importance de la conformité pour les organisations
• Présenter le concept d’équilibre entre sécurité et conformité
• Fournir des exemples de technologies qui contribuent à combler le fossé entre les deux

Qu’est-ce que la conformité en cybersécurité ?

Commençons par examiner les différentes définitions de la conformité le dictionnaire.

conformité nom

conformité \kɔ̃.fɔʁ.mi.te\

1a

: état de ce qui est conforme à un désir, une demande, une proposition, un régime ou la coercition

Les patients ont démontré une parfaite conformité dans le suivi de leur programme thérapeutique.

— Georgia A. Chrousos

b

: respect exigences officielles

Ses actions étaient en conformité avec la loi de l’État.

2

: état de deux ou plusieurs choses semblables entre elles

3

: état des choses qui s’accordent, qui se trouvent en parfaite harmonie

Parmi les différentes définitions, celle qui s’applique le plus directement à la cybersécurité est 1b, « respect des exigences officielles », car c’est là que réside le véritable objectif. Il s’agit en effet de respecter les exigences énoncées par un organe directeur ou une agence en ce qui concerne :

• la collecte
• la manipulation
• le traitement
• le stockage
• la distribution
• la dissémination
• l’élimination

des données et des systèmes protégés par des utilisateurs autorisés. Parallèlement, il s’agit d’empêcher tous les autres utilisateurs (non autorisés) d’accéder aux catégories de données protégées.

L’objectif de la conformité en cybersécurité

D’une manière générale, l’objectif de la conformité est essentiellement d’éviter d’enfreindre une loi à laquelle une organisation est soumise. D’une certaine manière, les mesures de conformité sont un plan conçu pour vous guider dans le champ de mines des violations potentielles.

C’est également le cas lorsqu’on parle de cybersécurité, mais il faut tenir compte d’un défi supplémentaire : protéger les données de l’entreprise, les utilisateurs qui y accèdent et les appareils sur lesquels elles sont traitées et stockées. Dans ce cas, le mot « protection » ne fait pas seulement référence aux acteurs malveillants. Il s’agit également de se tenir à distance de toute chose, action ou circonstance susceptible de mettre en danger des données protégées par une réglementation.

Prenons l’exemple d’un membre du service informatique qui a accès à un serveur de fichiers utilisé par les employés pour stocker des données professionnelles. Chaque répertoire est encadré par des autorisations qui réservent strictement son accès à l’utilisateur qui lui est affecté. Pour autant, le service informatique dispose, par défaut, du privilège administratif de modifier les autorisations de l’annuaire, si nécessaire. Si l’agent du service informatique reçoit un ticket au sujet d’un problème affectant le dossier d’un utilisateur, il est autorisé à modifier ses autorisations pour corriger le problème, et ce sans que cela ne dégrade la conformité. En revanche, s’il franchit une étape supplémentaire et explore le répertoire de l’utilisateur pour consulter des données protégées, il se peut qu’il enfreigne une obligation réglementaire. Rien ne dit en effet que le personnel informatique est autorisé à afficher ou à manipuler ce type de données.

Principales réglementations et normes de conformité en matière de cybersécurité

Nous avons parlé de « plan » un peu plus tôt. Nous n’avons pas choisi ce mot au hasard : tout comme un architecte dessine le plan que les équipes de construction suivront pour édifier une structure, les équipes informatiques et de sécurité s’appuient sur des normes pour établir un plan de sécurité répondant aux diverses exigences réglementaires qui encadrent leur organisation.

Juste pour clarifier, normes et réglementations ne sont pas synonymes. Les normes sont un moyen d’atteindre les objectifs liés au respect des réglementations. Elles constituent un ensemble formalisé de bonnes pratiques de sécurité, groupées en listes de tâches, qui fournissent des « conseils éprouvés » pour aider tous les types d’environnement à atteindre leurs objectifs de conformité.

Chaque organisation est unique, ses besoins également, et de nombreuses variables influent sur leur capacité à atteindre leurs objectifs de conformité. Gardons toutefois en tête que les réglementations des agences détaillent toujours ce qui doit être protégé pour être en conformité, et que les normes expliquent comment configurer les protections pour respecter ces réglementations.

Passons en revue les grandes réglementations mondiales en matière de cybersécurité :

• HIPAA : protège les données de santé et fixe des limites à leur partage, notamment en exigeant une autorisation d’utilisation explicite de la part des patients.
• PCI-DSS : établit des lignes directrices pour les processeurs de paiement par carte de crédit et encadre la capture, le traitement et le stockage des données des cartes.
• RGPD : gouvernance basée sur la confidentialité visant à garantir le droit des utilisateurs à refuser l’exploitation de leur données privées sans consentement explicite.
• FERPA : limite l’accès aux dossiers scolaires et aux données des étudiants, et contrôle leur divulgation.
• FSMA : assure la surveillance des compagnies d’assurance, des cabinets d’investissement et des banques, ainsi que des marchés émergents des technologies financières, comme la cryptomonnaie.

Examinons maintenant quelques normes et cadres clés reconnus à internationalement en matière de cybersécurité :

• Essential Eight : huit stratégies d’atténuation essentielles pour aider les organisations à hiérarchiser les contrôles visant à les protéger contre les cybermenaces.
• NIST : méthodologies destinées aux entreprises pour se protéger contre un large éventail de menaces de sécurité ; elle fournit des conseils pour la protection des infrastructures critiques.
• ISO : système international de gestion de la sécurité de l’information, constitué d’une famille de normes dont certaines sous-sections traitent de divers problèmes et menaces de cybersécurité.
• Cyber Essentials : cadre d’assurance des informations pour la mise en œuvre de contrôles de sécurité jugés efficaces pour protéger les organisations contre les menaces basées sur Internet.
• CIS : protections prioritaires à mettre en œuvre dans le cadre d’un modèle de défense en profondeur pour identifier et prévenir les menaces critiques de cybersécurité grâce à des modèles de référence.

L’importance de la conformité en cybersécurité

Le rôle de la conformité dans la cybersécurité peut être comparé à un système de poids et contrepoids. Les cybermenaces répondent à la question : contre quoi l’organisation doit-elle se protéger ? Les normes répondent à la question : quelle est la meilleure façon de mettre en œuvre des protections ? Enfin, la conformité répond à la question : avons-nous réussi à protéger l’organisation ?

Avantages de la conformité pour les organisations

Le plus grand avantage de la conformité pour les organisations est sans doute la tranquillité d’esprit, qui vient de l’assurance que les appareils sont conformes aux normes de l’industrie et aux références de sécurité. Les appareils sont renforcés contre les menaces de sécurité, les utilisateurs ont accès uniquement à ce qu’exigent leurs fonctions professionnelles, et les données sont protégées par des contrôles efficaces qui satisfont ou dépassent les exigences. Le risque de compromission est minimisé, tout comme celui d’un défaut de conformité.

Risques liés au défaut de conformité

Certains secteurs sont soumis à une surveillance réglementaire étroite en raison de la nature de leurs activités, de leurs pratiques et/ou des personnes avec lesquelles elles travaillent. La région d’exercice peut également avoir un impact sur le nombre de réglementations qui pèsent sur une entreprise, dans la mesure où les réglementations peuvent être édictées à différentes échelles d’administration :

• Localité (ville, comté, arrondissement, territoire)
• État
• Gouvernement fédéral
• Pays
• Région

Quelques exemples de conséquences d’un défaut de conformité

Chacune de ces échelles peut avoir son propre ensemble d’exigences, plus ou moins strictes que les autres. Les entreprises appartenant à des secteurs réglementés sont censées adhérer à toutes les exigences de chaque niveau de gouvernement, sans quoi elles s’exposent à de nombreuses sanctions :

• Fortes amendes par violation/infraction (pouvant atteindre plusieurs millions de dollars par an)
• Responsabilité civile (vis-à-vis des utilisateurs de services ou de produits impactés négativement)
• Responsabilité pénale des salariés et des dirigeants (reconnus coupables d’infractions sciemment commises)
• Refus de subventions, de financements ou d’incitations de la part du gouvernement
• Dégradation de l’image ou de la réputation de l’entreprise dans l’opinion publique
• Impact sur les opérations et les revenus de l’entreprise
• Perte de partenariats et d’opportunités commerciales en cas de perte de données
• Interdictions d’utilisation des produits et services
• Saisie de biens/fermeture d’entreprise

Trouver le juste équilibre entre conformité et sécurité

Le monde de l’informatique ne manque pas d’expressions et d’acronymes pour décrire les technologies. Il s’agit parfois de donner du poids à une catégorie d’outils ou de services poursuivant un même objectif. Dans d’autres cas, la juxtaposition de certains termes forme un véritable oxymore.

Sécurité et conformité sont justement des termes qui, s’ils évoquent tous deux un sentiment de protection, signifient deux choses disparates. Autrement dit, ce n’est pas parce qu’une chose est sécurisée qu’elle est conforme. Inversement, une chose peut être conforme sans nécessairement être sécurisée. D’où cette section, dans laquelle nous expliquons à quel point il peut être difficile – mais gratifiant – de trouver un équilibre entre sécurité et conformité.

Les défis de l’équilibre entre sécurité et conformité

Plusieurs défis doivent être surmontés lorsque vous tentez de trouver un équilibre en phase avec votre organisation. Certains concernent directement l’organisation : il s’agit des outils à la disposition de vos équipes informatiques et de sécurité, de leur base de connaissances et des limites de leurs compétences. Naturellement, l’aspect financier joue aussi un rôle crucial quand il s’agit de combler le fossé entre sécurité et conformité.

D’autres facteurs critiques interviennent également :

• Les réglementations qui encadrent votre secteur d’activité
• La gestion des appareils et la résilience de vos solutions
• Le rapport entre risque et proposition de valeur lors de la mise en œuvre de nouveaux outils
• L’impact sur la vie privée et la productivité des utilisateurs
• La bonne volonté des parties prenantes vis-à-vis de l’adoption et de la mise en œuvre des normes
• Les exigences et les contraintes urgentes

Intégrer la conformité sans sacrifier la sécurité

Quelle que soit la solution informatique à intégrer, la prudence doit toujours inciter à planifier et à gérer soigneusement le projet. Cela implique une phase de test pour mettre les modifications à l’essai dans un environnement protégé avant de les déployer en production.

Cette méthodologie a l’intérêt d’apporter de précieux retours aux équipes d’assistance et aux acteurs concernés, retours qui seront très utiles lors de l’évaluation des changements. En effet, tout processus de gestion du changement repose sur des cycles d’itération.

Comme tout ce qui s’applique au niveau organisationnel, cela changera considérablement en fonction des besoins propres à votre entreprise. Il n’existe malheureusement pas de méthode, de solution ou d’outil uniques pour combler le fossé entre sécurité et conformité.

Bonnes pratiques pour équilibrer sécurité et conformité

On ne soulignera jamais l’importance d’une bonne planification pour parvenir à cet équilibre. Un point crucial consiste à connaître deux aspects spécifiques au sujet de votre sécurité et votre conformité :

1. Où en est l’organisation actuellement ?
2. Où l’organisation doit-elle/veut-elle se rendre ?

Le premier est votre point de départ, votre position de sécurité au jour 1. Le deuxième donne à votre organisation un objectif clair et concis, qui doit être atteint une fois que les évaluations des risques auront été effectuées, que les normes et/ou les cadres de conformité auront été choisis, que les phases de mise en œuvre et de test seront terminées et qu’une analyse aura évalué toute lacune dans vos postures de sécurité et de conformité.

N’oubliez jamais que c’est un processus itératif. Si vous ne parvenez pas à destination du premier coup, profitez-en pour documenter vos observations et utilisez ces enseignements pour rapprocher l’organisation du point d’équilibre recherché.

Plus tôt dans cette section, nous avons évoqué le rapport entre risque et proposition de valeur. Dans le cadre du processus itératif, vous devez savoir à tout moment où se situe votre organisation sur le plan de la conformité et de la sécurité. Supposons, par exemple, que la politique interne exige que seuls les appareils appartenant à l’entreprise et gérés par sa solution MDM soient autorisés à accéder aux données professionnelles. Comme l’organisation ne possède pas assez de licences pour gérer les appareils personnels, les employés reçoivent l’instruction orale de s’abstenir d’utiliser des appareils personnels. Sans visibilité sur les appareils extérieurs à l’entreprise ni solution de sécurité visant spécialement à les empêcher d’accéder aux données de l’entreprise, comment savoir si des appareils personnels ont servi à consulter, traiter ou stocker des données protégées ?

C’est impossible. C’est un risque important pour la conformité et la sécurité. La contrepartie : un financement supplémentaire pour fournir une licence à chaque utilisateur d’appareil personnel, et des employés supplémentaires pour prendre en charge l’expansion de la flotte. Le risque est-il supérieur, inférieur ou égal à ces coûts supplémentaires et aux préoccupations des employés ? Le but de cet exercice n’est pas de répondre directement à la question (chaque organisation y répondra différemment) mais de souligner le rapport entre risque et valeur, à prendre en compte pour déterminer le juste équilibre.

Des outils et des technologies pour équilibrer sécurité et conformité

Après avoir analysé les risques, identifié les protections de sécurité nécessaires et choisi les normes et les cadres qui permettront d’atteindre leurs objectifs de conformité, les organisations ont besoin d’un outil pour équilibrer au mieux la sécurité et la conformité.

C’est là que les solutions technologiques entrent en jeu. Les bonnes technologies aideront à combler le fossé qui les sépare, faciliteront la mise en œuvre des configurations sécurisées et assureront la conformité à long terme.

Les technologies qui soutiennent les initiatives de sécurité des organisations

Dans cette section, nous passons en revue plusieurs technologies conçues pour aider les organisations à atteindre l’équilibre. Elles facilitent la mise en œuvre de configurations sécurisées, élaborées sur la base de normes et de cadres alignés sur des réglementations spécifiques.

• Gestion des appareils mobiles : les solutions MDM permettent au service informatique de simplifier la gestion de centaines, voire de dizaines de milliers d’appareils, quel que soit leur emplacement physique. Pensées pour superviser les appareils de l’entreprise et les appareils personnels selon différents modèles de propriété, les solutions de gestion encadrent les configurations et paramètres sécurisés des appareils, le déploiement des applications, la ségrégation des données professionnelles et personnelles sur des volumes distincts et l’application des normes de conformité à l’aide de règles.
• Sécurité des terminaux : ces solutions de sécurité surveillent et signalent activement l’état des appareils. Parce qu’elles identifient et préviennent les menaces connues, elles garantissent aux équipes de sécurité que les terminaux conservent une posture de sécurité de référence. L’analyse comportementale appuie la recherche des menaces inconnues, tandis que les workflows de remédiation atténuent les risques en rétablissant la conformité des appareils.
• Identité et accès : l’intégration de solutions d’identité à la gestion et à la sécurité apporte une couche de confiance supplémentaire : les permissions d’accès sont réservées aux seuls utilisateurs autorisés. Toujours pour respecter les exigences de conformité et les bonnes pratiques de sécurité, les solutions de gestion des accès et des identités appliquent le principe du moindre privilège. Les utilisateurs ne travaillent qu’avec les données protégées strictement nécessaires à leur fonction.
• Zero Trust : basé sur le principe « ne faire confiance à personne, par principe », ce modèle de sécurité s’appuie sur des solutions de gestion des identités et des accès pour remplir une fonction clé : empêcher tous les terminaux d’accéder aux ressources qu’ils demandent tant que leurs paramètres critiques n’ont pas été vérifiés. Quand un appareil satisfait aux critères, on lui accorde l’accès à la ressource demandée. Dans le cas contraire, l’intégration des solutions de sécurité et de gestion évalue ses vulnérabilités puis déclenche un workflow de correction avant de vérifier à nouveau son état de santé.

Quelques outils de mise en conformité

Dans cette dernière section, nous explorons les outils qui peuvent aider les organisations à maintenir la conformité dans leur démarche d’équilibrage. Ces outils sont essentiels au déploiement de configurations sécurisées basées sur des normes : les solutions holistiques de gestion, d’identité et de sécurité sécurisent les terminaux, mais aussi les utilisateurs et les données, dans le respect des réglementations applicables.

• Jamf Pro : solution de référence pour la gestion d’Apple en entreprise, elle gère les appareils macOS, iOS, iPadOS, tvOS et watchOS avec une interface simple et puissante qui s’adapte à vos besoins. Déployez et configurez le matériel à l’aide de workflows sans contact, installez des applications gérées, définissez des réglages et appliquez des règles pour maintenir les appareils sous contrôle.
• Jamf Connect : utilisez les services de votre fournisseur d’identité cloud sur vos Mac et vos appareils mobiles, pour que seules les personnes autorisées puissent utiliser le matériel ou accéder aux ressources de l’entreprise. Grâce à de puissants workflows basés sur l’identité, seuls les utilisateurs en possession d’identifiants valides et d’un appareil vérifié ont accès aux ressources protégées. À chaque demande, la connexion est protégée par des microtunnels chiffrés afin d’empêcher les attaques de type « homme du milieu ». Cette protection est toujours active, quelle que soit la connexion utilisée.
• Jamf Protect : renforcez la sécurité des terminaux en appliquant des références de sécurité et en exerçant une surveillance active. La solution déclenche des workflows de réponse aux incidents et alerte les équipes de sécurité en cas de menaces inconnues, tout en gérant les risques connus tels que les vulnérabilités et expositions courantes (CVE) des OS. Les menaces sont atténuées dès leur détection, sur l’ensemble de votre flotte. Étendez la sécurité de l’infrastructure en l’intégrant à votre solution SIEM habituelle pour centraliser les données de journalisation et échanger les données de télémétrie des appareils avec vos solutions de gestion et d’identité via une API sécurisée. Vous pourrez ainsi automatiser les workflows de remédiation sur la base de renseignements sur les menaces à jour et enrichis par le machine learning.
• Jamf Compliance Editor : reposant sur le projet de conformité de sécurité macOS (mSCP), il produit des directives de sécurité en phase avec les exigences des normes et cadres de gouvernance mondiaux, et offre de nombreuses possibilités de personnalisation. Si vous avez besoin d’une approche plus granulaire, choisissez les configurations à mettre en œuvre et définissez des niveaux de sécurité personnalisés. Il vous suffira ensuite de générer et d’importer automatiquement les assets correspondants dans votre instance de MDM Jamf, pour les déployer sur l’ensemble de votre flotte.
• Jamf Safe Internet : la meilleure protection contre les menaces réseau, doublée d’une solution complète de filtrage de contenu et pensée pour les appareils institutionnels. Pour les établissements d’enseignement, Jamf Safe Internet offre le même niveau de protection granulaire contre le phishing et les menaces zero-day. La solution bloque les contenus dangereux et protège la vie privée des utilisateurs. Quant à Jamf School, c’est notre solution de gestion et de sécurité dédiée au monde de l’éducation. Elle offre aux enseignants, aux équipes informatiques et au personnel des établissements scolaires les mêmes outils puissants que notre offre phare. Lorsqu’elles sont intégrées, ces deux solutions optimisées pour l’éducation apportent des informations détaillées sur l’utilisation des appareils à partir d’une console simple et intuitive.
• Jamf Executive Threat Protection : les solutions de sécurité des terminaux de Jamf ont pour priorité de protéger les utilisateurs contre les dernières évolutions du paysage moderne des menaces. Grâce à la détection des incidents de sécurité à distance, qui repose sur des capacités sophistiquées de détection et de correction, les équipes de sécurité ont toutes les cartes en main pour faire face aux incidents. Pour aller plus loin, les équipes de réponse aux incidents peuvent approfondir et élargir leurs recherches sur les menaces, en misant sur une visibilité totale sur l’ensemble de la flotte mobile. Grâce à de riches données télémétriques collectées à distances sur les terminaux, il ne faut plus que quelques minutes pour conclure une enquête. Ces performances exceptionnelles sont en partie à mettre au crédit de puissantes intégrations qui font converger un ensemble de fonctionnalités pensées pour les entreprises et les administrations.