Il existe différents types de méthodologies et de normes utilisées dans le monde des technologies de l'information pour créer une base de référence pour des pratiques d'exploitation sécurisées. Cela concerne non seulement l'infrastructure et les logiciels informatiques, mais aussi les personnes impliquées.
Dans notre travail quotidien, nous tombons sur des tests où nos clients manquent de routines sûres en matière de gestion des correctifs, de codage, de tests et ne comprennent tout simplement pas les risques potentiels. Il est de notre devoir de les aider. De les éduquer là où ils en ont besoin et quand ils en ont besoin. En tant que professionnels de la sécurité, nous devons nous préoccuper nous-mêmes de la sécurité, afin qu'ils sachent à leur tour que nous nous préoccupons de la leur.
Avec le passage à l'utilisation des machines d'autres personnes (AKA, "The Cloud") pour soutenir l'infrastructure, les plates-formes et les services sur site, de nouvelles politiques et procédures doivent être prises en compte. Ces "nouveaux" environnements sont souvent présentés comme totalement sûrs. Bien qu'ils puissent l'être en eux-mêmes, ce que vous avez construit au-dessus de la fondation est une toute autre histoire. Vous pouvez construire les fondations les plus solides, mais si la structure qui les recouvre s'effondre... à quoi bon ?
Cela nous amène à parler des fournisseurs de services tiers externes. La plupart des entreprises ont besoin de solutions multiples pour leurs activités quotidiennes. Tous ces besoins ne peuvent pas être satisfaits à l'aide de ressources internes ou d'applications sur mesure. Les raisons peuvent varier, mais le coût est généralement un facteur important dans cette décision. Soit la solution actuelle fait perdre trop de temps à l'entreprise, soit la conception d'une application interne serait trop coûteuse en termes de construction, de développement et de maintenance. Si vous pouvez penser à un problème, il y a généralement d'autres personnes qui ont le même problème. Et souvent, il existe une solution à ce problème quelque part sur l'un des différents sites Internet.
Le principal argument de vente est qu'il s'agit d'un service prêt à l'emploi, dont la maintenance est assurée par quelqu'un d'autre. Tout ce que vous avez à faire, c'est de l'utiliser. Bien entendu, cela entraîne des problèmes potentiels. Vous n'avez pas le contrôle total de ce qui se passe. Et pourquoi le feriez-vous ? Vous avez payé quelqu'un d'autre pour s'en occuper !
Lorsque vous confiez vos données à quelqu'un d'autre, vous voulez vous assurer qu'elles sont traitées correctement et en toute sécurité. Lorsque vous vous adressez à une entreprise au sujet de son produit, vous devez tenir compte de plusieurs éléments :
L'utilisation de nombreuses plateformes de médias sociaux est "gratuite" et vous devez simplement accepter leurs conditions d'utilisation. Si vous achetez un produit, vous devriez avoir certains droits concernant ce que vous achetez, ainsi qu'une excuse légitime pour vous plaindre si quelque chose ne correspond pas à ce qui est annoncé.
L'une des premières questions à poser au fournisseur devrait être : "Quelle est votre politique de sécurité ? Quelles sont vos procédures de sécurité ? Des tests de pénétration sont-ils effectués régulièrement, voire jamais ? Et pouvons-nous consulter ces rapports ? Oui, c'est plus d'une question. Ce n'est pas toujours aussi simple.
Nous pensons que s'ils ne sont pas préparés à ces réponses, c'est qu'ils ne font pas de la sécurité une priorité. S'ils ne sont pas prêts à partager leur politique et leurs procédures, il se peut qu'ils ne considèrent pas la sécurité comme une priorité. S'ils ne veulent pas partager les résultats de tests de pénétration antérieurs, il se peut qu'ils essaient de cacher quelque chose.
Même si vous achetez un produit prêt à l'emploi, il peut être nécessaire de l'adapter aux besoins spécifiques de votre entreprise. Ce ne sont pas les besoins et les exigences qui sont déterminants. Il s'agit plutôt de savoir s'ils sont réceptifs à vos besoins. S'intéressent-ils à vos questions ? Semble-t-il disposé à vous aider à trouver une solution ? Est-il possible de faire des compromis ?
Certains services ne peuvent tout simplement pas être flexibles dans leur mise en œuvre. Mais cela peut être l'occasion de voir comment l'entreprise traite ses clients.
L'utilisation du cryptage pour protéger la transmission de données sur l'internet est désormais une pratique courante. Fin 2018, le pourcentage de trafic utilisant le protocole HTTPS est supérieur à 72 %. et l'escalade. Il s'agit d'une augmentation considérable par rapport aux années précédentes ! Et bien que ce soit une excellente chose, cela ne garantit en aucun cas que le système est correctement mis en œuvre. Le protocole SSL/TLS est-il correctement mis en œuvre ? Les normes les plus récentes sont-elles appliquées ? Devez-vous "payer pour jouer" afin d'obtenir le meilleur service et le meilleur cryptage ? Votre environnement "sûr" se trouve-t-il sur la même machine que les autres clients qui ne veulent pas payer pour les options de sécurité haut de gamme ? ... Cela vous met un peu mal à l'aise, n'est-ce pas ? On a oublié de vous le dire ? Oups ! Je suppose que votre cryptage sophistiqué n'a plus vraiment d'importance maintenant...
Enfin, nous en arrivons à la raison principale pour laquelle nous sommes ici et pourquoi nous faisons ce que nous faisons. Nous nous soucions de la sécurité. Non seulement pour nos clients, mais aussi pour nous-mêmes, car en réalité, tout est lié d'une manière ou d'une autre.
Nous voyons beaucoup de problèmes dans notre travail quotidien. Le Top 10 de l'OWASP n'est pas une liste arbitraire, ces problèmes sont très répandus. Les raisons pour lesquelles nous continuons à voir ces problèmes sont infinies et nous pourrions les énumérer toute la journée. Mais on en revient toujours à la même chose. L'élément humain est souvent considéré comme le maillon le plus faible de la chaîne. Peu importe les produits et services de sécurité sophistiqués que vous achetez, ils sont tous inutiles s'ils ne sont pas configurés correctement, s'ils ne sont pas allumés/branchés, s'ils ne font pas l'objet de correctifs réguliers ou s'ils sont trop difficiles à gérer.
Derniers mots
De la même manière que vous vérifiez correctement les antécédents d'un nouvel employé potentiel, des références valables, une compréhension technique du rôle pour lequel vous recrutez, le même processus et la même méthodologie doivent être appliqués lors de l'examen d'une candidature potentielle d'un tiers. Si vous avez plus d'un candidat plausible, ne tombez pas dans le piège des coûts. N'excluez pas cette option avant d'avoir posé ces questions plus approfondies concernant la sécurité.
Pour vous aider, nous avons élaboré une liste de contrôle qui pourrait et devrait être utilisée comme questionnaire lors de l'examen des services tiers que vous pourriez envisager d'utiliser. Nous avons ajouté ce que nous pensons être quelques bonnes questions pour commencer à évaluer la maturité de la sécurité de l'application d'un fournisseur de services.
Pour téléchargez la liste, cliquez ici.