Bienvenue dans le monde des réglementations et des normes de conformité qui débordent, de l'évolution de l'infrastructure et de la violation toujours présente des données. Chaque année, l'activité frauduleuse représente 550 milliards de dollars de pertes aux États-Unis. En 2017, plus d'un milliard d'enregistrements de comptes ont été perdus dans les violations de données, soit l'équivalent de 20% de la population mondiale. 80% des responsables de la sécurité et de la conformité affirment que leur travail est plus difficile aujourd'hui qu'il y a deux ans, même avec tous les nouveaux outils qu'ils ont acquis.
Au sein de l'industrie de la sécurité, nous sommes constamment à la recherche d'une solution à ces problèmes convergents, tout en respectant la conformité réglementaire et commerciale. Beaucoup sont devenus cyniques et apathiques de l'échec continu des investissements destinés à prévenir ces événements malheureux. Il n'y a pas de solution miracle, et agiter un drapeau blanc est tout aussi problématique.
Le fait est que personne ne sait ce qui pourrait arriver ensuite. Et l'une des premières étapes est de reconnaître les limites inhérentes à notre connaissance et à nos facultés de prédiction. De là, nous pouvons adopter des méthodes de raisonnement, de preuve et de mesures proactives pour maintenir la conformité dans un monde en évolution. Détruire le mythe de la conformité passive est une étape importante pour parvenir à l'agilité de la sécurité, réduire les risques et trouver des menaces à l'hyper-vitesse.
Détruisons quelques mythes sur la sécurité informatique et la conformité:
Mythe 1: Les normes de sécurité des données de l'industrie du crédit (PCI DSS) ne sont nécessaires que pour les grandes entreprises
Pour la sécurité des données de vos clients, ce mythe est le plus clairement faux. Peu importe la taille, les organisations doivent respecter les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS). En fait, les données sur les petites entreprises sont très utiles aux voleurs de données et souvent plus faciles d'accès en raison d'un manque de protection. Le non-respect de la norme PCI DSS peut entraîner de lourdes amendes et pénalités et même perdre le droit d'accepter des cartes de crédit.
Les cartes de crédit sont utilisées pour plus que de simples achats au détail. Ils sont utilisés pour s'inscrire à des événements, payer des factures en ligne et effectuer d'innombrables autres opérations. La meilleure pratique consiste à ne pas stocker ces données localement, mais si les pratiques commerciales d'une organisation exigent le stockage des informations de carte de crédit des clients, des mesures supplémentaires doivent être prises pour assurer la sécurité des données. Les organisations doivent prouver que toutes les certifications, accréditations et protocoles de sécurité des meilleures pratiques sont suivis à la lettre.
Mythe 2: J'ai besoin d'un pare-feu et d'un IDS / IPS pour être conforme
Certaines réglementations de conformité indiquent en effet que les organisations sont tenues d'effectuer un contrôle d'accès et d'effectuer une surveillance. Certains disent en effet que des dispositifs de contrôle «périmétrique» comme un VPN ou un pare-feu sont requis. Certains disent en effet le mot "détection d'intrusion". Cependant, cela ne signifie pas nécessairement aller déployer NIDS ou un pare-feu partout.
Le contrôle d'accès et la surveillance peuvent être effectués avec de nombreuses autres technologies. Il n'y a rien de mal à utiliser un pare-feu ou des solutions NIDS pour répondre aux exigences de conformité, mais qu'en est-il de l'authentification centralisée, du contrôle d'accès réseau, de la détection des anomalies réseau, de l'analyse des logs?
Mythe 3: La conformité concerne toutes les règles et le contrôle d'accès.
La leçon de ce mythe est de ne pas devenir myope, en se concentrant uniquement sur la posture de sécurité (règles et contrôle d'accès). La conformité et la sécurité du réseau ne consistent pas seulement à créer des règles et un contrôle d'accès pour améliorer la posture, mais à évaluer en temps réel ce qui se passe. Se cacher derrière des règles et des politiques n'est pas une excuse pour la conformité et les échecs de sécurité.
Les organisations peuvent surmonter ce biais en analysant directement et en temps réel ce qui se passe à tout moment. L'attestation de sécurité et de conformité provient de l'établissement de stratégies pour le contrôle d'accès sur le réseau et de l'analyse continue de l'activité réseau réelle pour valider les mesures de sécurité et de conformité.
Mythe 4: La conformité n'est pertinente que lorsqu'il y a une vérification.
Les réseaux continuent d'évoluer, ce qui reste le défi le plus important pour la sécurité et la conformité des réseaux. Assez curieusement, l'évolution du réseau n'est pas poliment en attente, alors que le personnel de la conformité et de la sécurité se rattrape.
Non seulement les mutations de réseau augmentent, mais les nouvelles normes de conformité changent dans le contexte de ces nouveaux modèles de réseau. Ce défi discret et combinatoire ajoute de nouvelles dimensions au mandat de conformité qui sont en cours, pas seulement au cours d'un audit imminent.
Oui, la dernière génération de firewalls et de technologies de journalisation peut prendre