TIRER PROFIT DES RESSOURCES OFFERTES PAR L’ISACA !

//TIRER PROFIT DES RESSOURCES OFFERTES PAR L’ISACA !

TIRER PROFIT DES RESSOURCES OFFERTES PAR L’ISACA !

Auteur : Pascale Dominique, V-P Formation-Certification ISACA-Section Montréal,CISA, CRISC, CPA-CA,

(Note de l’auteur – Les guides de cybersécurité dont je fais référence dans cet article ne sont pas disponibles en français, les traductions sont des traductions libres)

Nous avons récemment obtenu un mandat d’audit de la cybersécurité auprès d’une PME.  Il faut être souple dans la définition d’audit dans le cadre d’un mandat en PME! Les objectifs recherchés étaient d’évaluer et de proposer des recommandations sur l’état du périmètre du réseau et de la cybersécurité; d’orienter et de conseiller notre client en matière de bonnes pratiques de l’industrie; et finalement de proposer un plan d’action pour corriger les faiblesses retracées et ainsi réduire les risques liés à la cybersécurité.

Notre équipe multidisciplinaire évolue en sécurité et en technologie de l’information depuis plus de 25 ans, nous conseillons les clients pour qu’ils profitent des nouvelles technologies dans le maintien de leur positionnement stratégique.  Étant membre de l’ISACA – Section de Montréal, je cherchais à apporter un levier et une plus-value en présentant au client un rapport cohérent et où des recommandations très techniques seraient appuyées par des normes de bonnes pratiques, d’où découlerait par la suite le plan d’action.  Pour la PME cela n’est pas toujours mince affaire!

C’est dans ce contexte que je me suis servie des guides de cybersécurité pour la PME proposés par l’ISACA à même les ressources  « Cybersecurity Resources ».  Ces guides s’alignent au référentiel COBIT 5 tout en adressant les besoins de la PME dont les ressources techniques et les budgets sont souvent limités.

Le guide (Cybersecurity Guidance for SME) définit d’abord les différentes catégories de PME puis propose 8 principes et 55 clauses d’orientation (exigences/contrôles).  Chacune des clauses reçoit une cote d’audit « Élevé » « Sévère » et « Important » identifiant un niveau de risque de cybersécurité pour une PME, voir Table 1.

 

Explication des notes d’audit
Cote Explication
Élevé Impact majeur ou risque pour l’entreprise, mettant potentiellement en péril l’existence de l’entreprise. Les impacts et les risques peuvent être financiers, opérationnels, de réputation ou de toute autre nature.
Sévère  Impact significatif ou risque pour l’entreprise, avec d’importantes conséquences potentielles au cours de l’exercice
Important  Impact ou risque pour l’entreprise qui va au-delà des niveaux tolérés d’impact et de risque, tels que définis par la direction générale

Table 1 Explication des notes d’audit

Chaque exigence est ensuite associée à une des cotes.  La Table 2 présente quelques-unes des exigences qui sont ressorties au cours de mandat.

 

Exigences de cybersécurité vérifiables
Clause d’orientation sur la cybersécurité (COC) Exigences/Contrôles Cote
1 Règles de gouvernance de cybersécurité documentées Élevé
4 Stratégie de cybersécurité documentée Sévère
11 Procédures documentées et pratiques de gestion Important
21 Inventaire des actifs informationnels documenté/ classification des actifs informationnels, du risque de cybersécurité et les menaces Sévère

Table 2 Exigences de cybersécurité vérifiables

Une fois nos tests et analyses complétés, nous avons élaboré des recommandations pour les lacunes, faiblesses, ou vulnérabilités retracées et les avons priorisées de 1 à 3. C’est à ce niveau que le guide m’a permis d’ajouter une cohérence au rapport en faisant correspondre chacune de nos recommandations à une ou plusieurs des clauses, (voir quelques exemple à la Table 3), puis avons fait un rapprochement entre les recommandations et priorités proposées aux clauses d’orientation des exigences et contrôles car ces critères représentent les exigences minimales pour des PME, dont fait partie notre cliente, et les niveaux de risque de sécurité identifiés (voir Table 4 – Sommaire des recommandations par priorité et cote).  

 

C.O.C. Exigences/Contrôles Cote Recommandations Priorité
1 Règles de gouvernance de cyber sécurité documentées Élevé R1 2
34 Configuration sécurisée des points d’entrée logiques Élevé R5-R6-R9 1
37 Mécanismes de défense contre les logiciels malveillants Élevé R7 3
38 Mécanismes de défense du périmètre Élevé R3-R4-R5-R6-R9 1
44 Les principes du « besoin d’en connaître » et du « moindre privilège » sont documentés et en évidence Élevé R8 3
4 Stratégie de cybersécurité documentée Sévère R1 1
21 Inventaire des actifs informationnels documenté/ classification des actifs informationnels, du risque de cybersécurité et les menaces Sévère R2 1
23 Identifier les infrastructures critiques, les applicatifs et services critiques ainsi que les services offerts par des tiers qui sont critiques Sévère R2 2
24 L’architecture de cyber sécurité est adéquate en fonction de la taille et complexité de l’entreprise Important R3 2
25 Compétences et aptitudes adéquates du personnel de cybersécurité Important R2 1

Table 3 Correspondance des exigences et des recommandations

 

Priorité Cote No recommandations Recommandations Exigences/Contrôles C.O.C.
1 Élevé R5 Rehaussement et revue de la configuration des routeurs Configuration sécurisée des points d’entrée logiques 34
R6 Mur pare-feu
R9 Protection contre les logiciels malveillants
R3 Complexité du réseau actuel Mécanismes de défense du périmètre 38
R4 Le réseau sans fil
R5-R6-R9 Rehaussement et revue de la configuration des routeurs /Mur pare-feu /Protection contre les logiciels malveillants
2 Élevé R5-R6-R9 Mécanismes permettant de sécuriser les actifs informationnels (appareils/logiciels et applications) 31
2 Sévère R4-R5-R6-R9   Mécanisme de configuration sécurisée pour les périphériques réseau en y incluant les sous-traitants 33
2 Sévère R4-R5-R6-R7-R9   Identifier les vulnérabilités 35
1 Sévère R1 Absence de documentation formelle quant aux principes et politiques de sécurité Stratégie de cybersécurité documentée 4
2 Élevé Règles de gouvernance de cyber sécurité documentées 1
2 Important Procédures documentées et pratiques de gestion 11

Table 4 – Sommaire des recommandations par priorité et cote

Cela allait nous servir de base de travail pour aiguiller la prise de décision quant au plan d’action pour les des prochains mois en vue d’implanter les mesures correctives et les recommandations proposées.

Notre rapport a été présenté et la prochaine étape sera d’établir un plan de match à partir du sommaire des recommandations.

Cet article démontre à quel point l’ISACA regorge de ressources pouvant nous aider à améliorer notre travail.  En tant que membres vous avez accès à de nombreux guides téléchargeables gratuitement ou à prix très abordables et certains sont disponibles en français.  Je vous encourage à visiter la bibliothèque virtuelle de l’ISACA au https://www.isaca.org/bookstore/Pages/default.aspx?

By |2018-03-06T21:29:57+00:00mars 6th, 2018|Articles|Commentaires fermés sur TIRER PROFIT DES RESSOURCES OFFERTES PAR L’ISACA !