Le mois de la sécurité de l'infrastructure est utile pour tout le monde

Nous entrons dans la dernière semaine du mois de la sécurité des infrastructures. Jusqu'ici, nous avons abordé les responsabilités et les risques partagés, la sécurisation des rassemblements publics et le renforcement de la sécurité et de la résilience dans les infrastructures critiques. Cette semaine, l'accent est mis sur la sécurité des élections et la résilience de nos processus démocratiques.

Dans le cadre de cette initiative hebdomadaire, la CISA s'adresse au personnel électoral des États-Unis pour lui rappeler que de nombreuses ressources de sécurité sont disponibles au sein de l'agence. Cette dernière propose notamment une formation avec exercices de simulation pour le scrutin anticipé, le vote par correspondance et les machines à voter ainsi que d'autres ressources en matière de cybersécurité. Les conseillers régionaux en sécurité préventive de la CISA peuvent également évaluer la sécurité de l'infrastructure physique utilisée dans le cadre des activités électorales. Elections Infrastructure Information Sharing and Analysis Center™ (EI-ISAC®) est une organisation à but non lucratif qui travaille avec la CISA pour répondre aux besoins en cybersécurité des circonscriptions électorales.

Le mois de la sécurité des infrastructures répond à un objectif précis, mais nous pouvons l'utiliser librement. Cette initiative et les ressources de la CISA ne sont pas uniquement réservées aux responsables d'infrastructures critiques. En voici un exemple :

• L'infrastructure en tant que « système de systèmes » est l'un des thèmes récurrents du mois de la sécurité des infrastructures : si l'un des composants de l'infrastructure n'est pas sécurisé, c'est l'ensemble qui est vulnérable. On pourrait dire qu'il en va de même pour votre entreprise. Votre Internet des objets, vos postes de travail, vos boîtes e-mail et vos appareils mobiles connectés sont tous des systèmes intégrés dans un système plus vaste. Et ce système peut échapper à votre propre contrôle si vous êtes connecté à une chaîne logistique ou à un prestataire de services qui peut accéder à votre réseau. Comment assurer la sécurité dans ce cas ? La CISA peut vous y aider. Commencez par suivre dès maintenant ces six étapes simples.


• La sécurité de l'infrastructure ne se limite pas à la cybersécurité. Ainsi, la CISA propose des ressources sur l'atténuation des menaces liées à la violence et aux actes de terrorisme. Cependant, ce ne sont pas là les seules menaces physiques qui pèsent sur vos bureaux ou d'autres de vos installations. Ouragans, tremblements de terre, incendies (etc.), toutes sortes de catastrophes peuvent interrompre les activités de votre entreprise, en vous impactant personnellement ou votre chaîne logistique. La CISA dispose de ressources pour vous préparer aux catastrophes et aux interdépendances liées.


• Faciliter la collaboration entre les différents responsables et les différents secteurs d'infrastructure est une tâche prioritaire pour les agences responsables du mois de la sécurité des infrastructures. Le National Risk Management Center (NRMC) fait appel à des experts en la matière pour analyser les menaces qui pèsent sur les fonctions critiques à haut risque, notamment dans la 5G et la cybersécurité des pipelines. Mais pour votre entreprise, il peut s'agir des e-mails, des applications e-commerce ou d'un réseau de contrôles industriels. Avez-vous identifié les fonctions critiques à haut risque dans votre entreprise ? Vos collègues, vos fournisseurs ou votre réseau professionnel peuvent-ils vous aider à comprendre et à atténuer les risques potentiels ?


• Tous les secteurs et toutes les entreprises sont exposés aux incidents et aux menaces internes. Selon la CISA, une menace interne est un acte commis par un employé actuel ou ancien, un prestataire tiers ou un partenaire commercial. Votre entreprise est-elle protégée contre ces risques ? La CISA dispose d'importantes ressources pour vous aider à comprendre les risques et les signes annonciateurs. Il existe également des fiches d'information et des guides sur le rôle des RH et des autres services dans la prévention de ces menaces. La fiche Insider Threat Program Maturity Framework vous aide notamment à évaluer le risque encouru par votre entreprise. Bien qu'elle ait été rédigée à l'intention des organismes gouvernementaux, elle correspond aux besoins de la plupart des entreprises.


• Pensez également aux exercices de simulation et aux évaluations de la vulnérabilité pour mettre au point les meilleures mesures d'atténuation et les meilleures interventions possibles. Les exercices de simulation sont l'occasion de tester votre réponse à une attaque par ransomware, à une catastrophe naturelle, à une panne de courant prolongée, etc. La CISA dispose de modèles et de scénarios permettant de personnaliser les menaces en fonction des spécificités de votre entreprise.

Les ressources, les activités et les initiatives proposées sont bien trop nombreuses pour toutes les aborder mais voici une sélection de recommandations :

• Présentation de la sécurité des infrastructures : cette introduction au programme est un bon point de départ si vous connaissez uniquement la CISA par le biais du National Cyber Awareness System. Le catalogue interactif des services CISA détaille les nombreux champs de mission de l'agence et dirige les lecteurs vers les ressources appropriées. Le guide 2021 du mois de la sécurité des infrastructures contient des conseils et des liens vers des informations complémentaires sur les sujets abordés tout au long du mois.


• Gestion des risques dans la chaîne logistique des technologies de l'information et de la communication : ces ressources ont été développées pour la sécurité des infrastructures mais s'adaptent facilement à des scénarios professionnels. Vous trouverez sur le site des cours en ligne, des rapports sur des scénarios de menaces, des guides pour le leadership, des informations détaillées sur la technologie sur l'Internet des objets et les risques associés et bien plus encore.


• Outil d'autoévaluation des risques internes : cette section sera utile à tous types d'entreprises. Elle contient une feuille d'évaluation, des documents d'orientation et une fiche de présentation du programme. Ce dernier sera utile à toute personne cherchant à prouver l'utilité d'une évaluation des risques.


• Cadre de planification de la résilience des infrastructures (IRPF) : ce cadre se compose de cinq étapes pour vous aider à prendre en compte la sécurité et la résilience dans les décisions relatives à des projets et à des investissements. Des feuilles de travail et des références externes guideront votre équipe tout au long du processus, de la définition du champ d'application à l'évaluation, en passant par la mise en œuvre.


• Comptes rendus postaction Cyber Storm : Cyber Storm est un test approfondi de la réponse gouvernementale à une cybercrise touchant les infrastructures critiques. Nous recommandons à toutes les entreprises de passer en revue les conclusions et les recommandations clés de ces rapports de la CISA sur les résultats des simulations Cyber Storm. Par exemple, l'exercice de cybersécurité de 2020 a conclu que « dans des environnements de travail de plus en plus distribués, certaines organisations ont constaté qu'une réponse distribuée pouvait retarder la coordination et prolonger les délais d'intervention ». Ainsi, la CISA recommande aux entreprises de prendre en compte les défis liés à un environnement distribué dans leurs plans de réponse aux incidents. L'exercice, les conclusions et les recommandations sont expliqués dans le rapport. Même si ces informations ne sont pas directement applicables, elles seront certainement source d'idées pour l'amélioration de la sécurité et de votre réponse aux incidents.

Le mois de la sécurité des infrastructures touche à sa fin mais les menaces pesant sur notre infrastructure, notre économie et notre bien-être ne s'arrêteront pas là. Pour apprendre à mieux les connaître et à vous protéger en conséquence, consultez le site de la CISA.