Les contrôles de sécurité sont les paramètres mis en place pour diverses formes de données et d’infrastructure d’une entreprise. Ainsi, les dispositifs de protection et les contre-mesures utilisés pour éviter, détecter, contrer ou minimiser les risques de sécurité aux biens physiques, aux informations, aux systèmes informatiques ou à tout autre actif d’une entreprise sont considérés comme des contrôles de sécurité.
Compte tenu du nombre croissant de cyberattaques, la mise en place de contrôles de sécurité des données n’a jamais été aussi importante. Selon une étude de la Clark School de l’université du Maryland, une cyberattaque a lieu en moyenne toutes les 39 secondes aux États-Unis, affectant une personne sur trois chaque année. En outre, 43 % de ces attaques ciblent les petites entreprises. Entre mars 2021 et mars 2022, le coût moyen d’une violation de données aux États-Unis s’élevait à 9,44 millions de dollars.
Parallèlement, les réglementations en matière de confidentialité des données se multiplient, ce qui oblige les entreprises à renforcer leurs politiques de protection des données sous peine d’amendes potentielles. Ainsi, l’Union européenne a énoncé des règles strictes dans son Règlement général sur la protection des données (RGPD). Aux États-Unis, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) est entrée en vigueur le 1er janvier 2020, et plusieurs autres États envisagent actuellement des mesures similaires.
Ces règlements prévoient généralement des sanctions sévères pour les entreprises qui ne respectent pas ces exigences. Par exemple, Facebook a récemment annoncé s’attendre à une amende de plus de 3 milliards de dollars de la Commission fédérale du commerce des États-Unis (FTC) pour manquement aux politiques de protection des données qui ont entraîné plusieurs violations.
Plusieurs types de contrôles de sécurité peuvent être mis en œuvre pour protéger le matériel, les logiciels, les réseaux et les données des actions et des événements susceptibles de causer des pertes ou des dommages, notamment :
Les systèmes de contrôles de sécurité, y compris les processus et la documentation définissant leur mise en œuvre et leur gestion continue, s’appellent des cadres ou des normes.
Les cadres permettent à une entreprise de gérer de manière cohérente ses contrôles de sécurité pour différents types d’actifs selon une méthodologie acceptée et testée. Voici quelques-uns des cadres et normes les plus connus :
En 2014, le National Institute of Standards and Technology (NIST) a créé un cadre volontaire fournissant aux entreprises des conseils sur la façon de prévenir, de détecter et de répondre aux cyberattaques. Les méthodes et procédures d’évaluation sont utilisées pour déterminer si les contrôles de sécurité d’une entreprise sont bien mis en œuvre, fonctionnent correctement et ont le résultat escompté (conformément aux exigences de sécurité de l’entreprise). Le cadre NIST est constamment mis à jour pour tenir compte des avancées en matière de cybersécurité.
Le Center for Internet Security (CIS) a dressé une liste de mesures défensives hautement prioritaires qui constituent un point de départ incontournable pour toute entreprise cherchant à prévenir les cyberattaques. Selon le SANS Institute, qui a développé les contrôles CIS, ces derniers « sont efficaces car ils sont dérivés des modèles d’attaque les plus courants mis en évidence dans les principaux rapports sur les menaces et vérifiés par une vaste communauté de professionnels travaillant pour le gouvernement et les entreprises du secteur ».
Les entreprises peuvent se référer à ces cadres et à d’autres pour développer leurs propres cadre et politiques de sécurité informatique. Avec un cadre bien établi, les entreprises peuvent :
Une solution de sécurité est aussi robuste que son maillon le plus faible. Par conséquent, vous devez renforcer les contrôles de sécurité (stratégie de défense en profondeur) pour mettre en œuvre des contrôles de sécurité dans la gestion des identités et des accès, les données, les applications, l’infrastructure du réseau ou des serveurs, la sécurité physique et les informations sur la sécurité.
Une évaluation des contrôles de sécurité est une excellente première étape pour identifier les vulnérabilités potentielles. En effet, elle vous permet d’évaluer les contrôles qui sont actuellement en place et de déterminer s’ils sont bien mis en œuvre, s’ils fonctionnent correctement et s’ils répondent à vos exigences de sécurité. La NIST Special Publication 800-53 sert de référence pour les évaluations des contrôles de sécurité. Les directives du NIST constituent une approche des bonnes pratiques qui, lorsqu’elles sont appliquées, peuvent contribuer à atténuer les risques de compromission de la sécurité de votre entreprise. Autrement, votre entreprise peut également créer sa propre évaluation de la sécurité.
Voici quelques étapes clés à suivre pour créer une évaluation de sécurité :
Découvrez-en plus sur la façon d’évaluer la vulnérabilité des applications et du réseau de votre entreprise en créant votre propre évaluation de la sécurité.
IBM Cloud with Red Hat offre une sécurité, une évolutivité d’entreprise et une innovation ouverte de pointe pour libérer tout le potentiel du cloud et de l’IA.
Pour sa 17e édition, le rapport sur le coût d’une violation de données en 2022 fournit les dernières informations sur l’évolution des menaces et vous propose des conseils pour gagner du temps et limiter les pertes.
Découvrez ce que sont les attaques DDoS, comment elles fonctionnent et en quoi elles affectent les applications et l’expérience utilisateur.