La plupart des membres de la communauté de la sécurité reconnaissent la nécessité d'une culture de sécurité améliorée, ce qui signifie une sensibilisation, une mesure et une surveillance systémiques de l'entreprise pour améliorer la cybersécurité afin de réduire le risque global. Il suffit de regarder Keynote Black Hat USA 2022 de Kim Zetter, qui appelait à des améliorations cruciales de la sécurité dans l’ensemble des infrastructures critiques.
Bien souvent, l’obstacle à une sécurité efficace n’est pas nécessairement technique mais plutôt culturel. Beaucoup assimilent souvent à tort l’éducation et la formation des utilisateurs au création d'une culture de sécurité. L'éducation des utilisateurs concerne le partage d'informations sur les problèmes et les obligations, tandis que la culture de sécurité concerne les changements de comportement en faveur de la sécurité.
Construire une culture de sécurité grâce à la sensibilisation des utilisateurs
Bien que la sensibilisation des utilisateurs et la création d’une culture de sécurité soient des exercices différents comportant des défis distincts, ils partagent un point commun.: Ils nécessitent une attention et un soutien sérieux. Dans cette optique, ces deux exercices se complètent en réalité.
Considérez ceci : bien qu'il existe de nombreux débats sur les structures hiérarchiques des RSSI, le soutien nécessaire pour promouvoir une culture de sécurité ne dépend pas de cette hiérarchie ; cela dépend de la modification du comportement des utilisateurs via des opérations commerciales généralement acceptées. Cette modification globale des processus métiers est la raison pour laquelle la culture de sécurité doit être impulsée de haut en bas.
La sensibilisation des utilisateurs doit être intégrée aux outils de sécurité d’une organisation et être aussi cohérente que la recherche d’indices de compromission dans les systèmes. La sensibilisation des utilisateurs ne remplace pas et n’est pas la même chose que la création d’une culture de sécurité ; elle est plutôt un élément nécessaire de toute culture de sécurité efficace.
Monter à bord
L’appropriation et le soutien à la création d’une culture de sécurité doivent être pilotés au niveau du conseil d’administration. En effet, si de nombreuses exploitations et attaques ne sont qu’une nouvelle alerte de sécurité à gérer, lorsqu’un adversaire habile s’en mêle, de sérieux risques apparaissent. Comme je le dis toujours : les amateurs piratent les systèmes ; les professionnels piratent les gens. Le piratage de l’humain en tant que catégorie de risque de sécurité présente un taux de réussite élevé et transcende les garanties technologiques.
L’astuce consiste à protéger l’opérateur humain des pièges de la nature humaine en contrôlant et en sculptant son comportement. Cela nécessite souvent une réflexion critique sur les pratiques commerciales bien ancrées. Le soutien à la réalisation des changements nécessaires dépendra dans une large mesure de l’influence du haut vers le bas.
Culture de sécurité dans les environnements OT
Les environnements OT sont confrontés à des défis encore plus importants en matière d’examen et de développement de leur culture de sécurité. Non seulement les utilisateurs professionnels jouent un rôle essentiel, mais les ingénieurs OT sont tout aussi essentiels pour prévenir et répondre aux événements de sécurité.
La relation entre IT et OT C’est là que la création d’une culture de sécurité globale nécessitera un soutien descendant pour examiner d’un œil critique l’ensemble des processus commerciaux et opérationnels. Les éléments qui peuvent torpiller les tentatives les plus sérieuses visant à renforcer un effort de sécurité pourraient être aussi peu méfiants que le processus comptable d’application des budgets sur les différents sites ou la perception de propriété en matière de sécurité.
Bien que ces exemples ne représentent que la pointe de l’iceberg, il est important de créer un programme global et continu d’amélioration des processus au sein de l’organisation afin de continuer à se demander : « Comment notre culture de sécurité pourrait-elle être améliorée ? »
Culture de sécurité dans les environnements informatiques
Contrairement à l’OT, la reconnaissance du besoin de technologies est bien définie en informatique. Par exemple, l’inventaire et la visibilité des actifs constituent un ensemble de produits de base pour l’informatique. Il existe de nombreux fournisseurs de gestion d’actifs parmi lesquels choisir, et une équipe informatique compétente peut rapidement adopter ces outils. Le processus de sélection d’une technologie peut être influencé par un processus centré sur l’informatique. Des changements culturels pourraient être trouvés qui conviendraient mieux à la sélection des produits complémentaires côté OT.
L’inventaire des actifs, la vulnérabilité et la gestion des risques sont plus difficiles en OT en raison de la nature de la technologie et de la topologie. Le personnel est généralement constitué d'ingénieurs spécialisés dans le processus et pas nécessairement dans les outils (systèmes) et dans la manière dont ils interagissent avec les opérations des molécules en mouvement. Les propriétaires d’actifs OT ont une mission différente de celle des propriétaires informatiques, et leur formation n’inclut pas nécessairement la sécurité. La création d’une culture de sécurité doit prendre en compte ces différents mentalités et utiliser des tactiques pertinentes pour changer les comportements.
Mélanger les cultures : informatique et OT
Une approche basée sur les risques aidera les professionnels de l'informatique et de l'OT en standardisant des indicateurs clés tels que la vie, la santé, la sécurité, sans parler de l'impact sur la capacité de production et l'efficacité. Cette approche doit également inclure le temps d'arrêt maximum tolérable (MTD) et le temps moyen de récupération (MTR).
Cela permettra de répondre aux raisons pour lesquelles le personnel devrait se soucier de la sécurité. Les organisations voudront donner à l’équipe collective une chance de réussir. Lors de l'examen des processus métier pour l'attribution des tâches entre les groupes, des changements subtils peuvent apparaître sous l'angle de la sécurité. Alors que la propriété du système doit rester divisée en raison de besoins inhérents et opérationnels, les équipes informatiques/sécurité/OT doivent toutes travailler en étroite collaboration pour remédier aux vulnérabilités critiques, aux événements de sécurité potentiels et à la réponse/récupération en cas d'incident. La rapidité et l’efficacité sont primordiales.
Ce ne sont là que deux aspects de la création d’une culture de sécurité, mais ils constituent un excellent exemple de la raison pour laquelle le changement de comportement ne se limite pas au simple partage d’informations. La création d’une culture de sécurité est vitale pour toute organisation afin d’augmenter les investissements en technologies de sécurité, mais elle est indispensable à la survie d’un opérateur OT dans le processus rapide de réponse aux violations.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
