Détection et prévention dans le management de la sécurité de l'information

• Les cyberattaques restent trop longtemps non détectées
• La nouvelle norme ISO/IEC 27001:2022 - changements clés
• Trois nouveaux contrôles pour la détection et la prévention
• Résumé technique
• Que signifie la mise à jour pour votre certification ?
• Un SMSI à la pointe de la technologie avec l'expertise de DQS

Les cyberattaques restent trop longtemps non détectées

La valeur éminente des informations et des données dans le monde des affaires du 21e siècle oblige de plus en plus les entreprises et les organisations à se concentrer sur la sécurité de l'information et à investir dans la protection systématique de leurs actifs numériques. Pourquoi ? Dans un paysage dynamique de menaces, les tactiques des attaquants deviennent de plus en plus sophistiquées et multi-couches - ce qui entraîne de graves dommages pour l'image et la réputation des entreprises concernées et des milliards de dollars de pertes économiques annuelles dans le monde entier.

Les experts s'accordent à dire qu'il n'existe plus de protection complète contre les cyberattaques - ne serait-ce qu'en raison du facteur humain d'incertitude. Il est donc d'autant plus important de détecter rapidement les attaques potentielles et réelles afin de limiter leur vecteur latéral dans les réseaux d'entreprise et de maintenir le nombre de systèmes compromettants aussi bas que possible. Mais il y a encore un énorme retard à rattraper dans ce domaine : les recherches menées dans le cadre de l'étude"Cost of a data breach 2022" d'IBM montrent qu'il fallait en moyenne 277 jours pour détecter et contenir une attaque en 2022.

La nouvelle norme ISO 27001:2022

Pour aider les entreprises et les organisations à disposer d'un cadre contemporain et normalisé pour les systèmes de management de la sécurité de l'information, l'ISO a publié la nouvelle norme ISMS ISO/IEC 27001:2022 le 25 octobre 2022. L'annexe A fournit des contrôles/mesures qui peuvent être utilisés sur une base spécifique à l'entreprise pour faire face aux risques de sécurité de l'information.

La mise en œuvre des mesures de l'annexe A dans la version actuelle est soutenue par les conseils de mise en œuvre structurés de manière identique de la norme ISO/CEI 27002:2022, qui a déjà été mise à jour en février. Les contrôles génériques pour la prévention des attaques stratégiques et la détection plus rapide sont nouvellement inclus.

Trois nouveaux contrôles pour la détection et la prévention

Les 93 mesures de l'annexe A de la norme ISO/CEI 27001:2022 sont désormais réorganisées en quatre thèmes dans le cadre de la mise à jour.

• Mesures organisationnelles,
• Mesures personnelles,
• Mesures physiques et
• Mesures technologiques.

Trois des onze contrôles de sécurité de l'information nouvellement introduits concernent la prévention et la détection rapide des cyberattaques. Ces trois contrôles sont les suivants

• 5.7 Renseignements sur les menaces (organisationnel).
• 8.16 Activités de surveillance (technologique)
• 8.23 Filtrage du Web (technologique).

Nous allons examiner de plus près ces trois nouveaux contrôles.

Renseignements sur les menaces

Le contrôle organisationnel 5.7 porte sur la collecte et l'analyse systématiques d'informations sur les menaces pertinentes. L'objectif de cette mesure est de faire prendre conscience aux organisations de la situation de leurs propres menaces afin qu'elles puissent ensuite prendre les mesures appropriées pour atténuer le risque. Les données sur les menaces doivent être analysées de manière structurée selon trois aspects : stratégique, tactique et opérationnel.

L'analyse stratégique des menaces donne un aperçu de l'évolution du paysage des menaces, comme les types d'attaques et les acteurs, par exemple, les acteurs motivés par l'État, les cybercriminels, les attaquants contractuels, les hacktivistes. Les agences gouvernementales nationales et internationales (telles que le BSI - Office fédéral allemand de la sécurité de l'information, l'enisa - Agence de l'Union européenne pour la cybersécurité, le ministère américain de la sécurité intérieure ou le NIST - Institut national des normes et de la technologie), ainsi que les organisations à but non lucratif et les forums pertinents, fournissent des renseignements bien documentés sur les menaces dans tous les secteurs et infrastructures critiques.

Le renseignement tactique sur les menaces et son évaluation fournissent des évaluations des méthodes, des outils et des technologies des attaquants.

L'évaluation opérationnelle de menaces spécifiques fournit des informations détaillées sur des attaques spécifiques, y compris des indicateurs techniques, par exemple, actuellement, l'augmentation extrême des cyberattaques par ransomware et ses variantes en 2022.

L'analyse des menaces peut apporter un soutien de la manière suivante :

• Sur le plan procédural pour intégrer les données sur les menaces dans le processus de management des risques,
• Sur le plan technique, en matière de prévention et de détection, par exemple en mettant à jour les règles des pare-feu, les systèmes de détection d'intrusion (IDS) et les solutions anti-malware,
• Avec des informations d'entrée pour des procédures de test spécifiques et des techniques de test contre la sécurité de l'information.

La qualité des données du contrôle organisationnel 5.7 pour déterminer la situation des menaces et l'analyser affecte directement les deux contrôles techniques pour les activités de surveillance (8.16) et le filtrage web (8.23) discutés ci-dessous, qui sont également nouveaux dans l'ISO/CEI 27002.

Activités de surveillance

Le contrôle de sécurité de l'information correctif et préventif 8.16 sur la surveillance technique des activités se concentre sur la détection des anomalies comme méthode pour éviter les menaces. Les réseaux, systèmes et applications se comportent selon des modèles attendus, tels que le débit de données, les protocoles, les messages, etc. Tout changement ou écart par rapport à ces modèles attendus est détecté comme une anomalie.

Afin de détecter ce comportement inhabituel, les activités pertinentes doivent être surveillées conformément aux exigences de sécurité de l'entreprise et de l'information et toute anomalie doit être comparée aux données existantes sur les menaces, entre autres (voir ci-dessus, exigence 5.7). Les aspects suivants sont pertinents pour le système de surveillance :

• Le trafic entrant et sortant du réseau, des systèmes et des applications,
• Accès aux systèmes, serveurs, équipements de réseau, systèmes de surveillance, applications critiques, etc..,
• Fichiers de configuration du système et du réseau au niveau administratif ou critique ;
• Journaux d'outils de sécurité [par exemple, antivirus, systèmes de détection d'intrusion (IDS), système de prévention d'intrusion (IPS), filtres web, pare-feu, prévention des fuites de données],
• Journaux d'événements liés aux activités du système et du réseau,
• Vérification de l'intégrité et de l'autorisation du code exécutable dans un système,
• l'utilisation des ressources, par exemple la puissance du processeur, la capacité du disque, l'utilisation de la mémoire, les bandes passantes.

Les conditions de base pour un suivi fonctionnel des activités sont une infrastructure IT/OT configurée de manière propre et transparente et des réseaux IT/OT fonctionnant correctement. Tout changement par rapport à cet état de base est détecté comme une menace potentielle pour la fonctionnalité et donc comme une anomalie. En fonction de la complexité d'une infrastructure, la mise en œuvre de cette mesure constitue un défi majeur, malgré les solutions pertinentes proposées par les fournisseurs. L'importance des systèmes de détection des anomalies a été reconnue presque simultanément avec l'exigence 8.16 de la norme ISO/IEC 27002:2022 pour les opérateurs d'infrastructures dites critiques. Ainsi, dans le cadre national des réglementations légales pertinentes, il existe une obligation pour ces derniers d'appliquer effectivement des systèmes dits de détection des attaques avec des délais.

Filtrage du Web

L'Internet est à la fois une bénédiction et une malédiction. L'accès à des sites web douteux reste une porte d'entrée pour les contenus malveillants et les logiciels malveillants. Le contrôle de sécurité de l'information 8.23 Filtrage Web a pour objectif préventif de protéger les propres systèmes d'une organisation contre l'intrusion de logiciels malveillants et d'empêcher l'accès à des ressources Web non autorisées. À cette fin, les organisations devraient établir des règles pour une utilisation sûre et appropriée des ressources en ligne - y compris des restrictions d'accès obligatoires aux sites Web et aux applications Web non désirés ou inappropriés. L'accès aux types de sites Web suivants doit être bloqué par l'organisation :

• Les sites Web dotés d'une fonction de téléchargement - sauf si cela s'avère nécessaire pour des raisons professionnelles légitimes,
• Sites Web malveillants connus ou même suspectés,
• Les serveurs de commande et de contrôle,
• Sites web malveillants identifiés comme tels à partir des données sur les menaces (voir également la mesure 5.7),
• les sites web au contenu illégal.

La mesure de filtrage web ne fonctionne réellement qu'avec un personnel formé et suffisamment sensibilisé à l'utilisation sûre et appropriée des ressources en ligne.

Conclusion technique

Les nouveaux contrôles de détection et de prévention décrits ici ont un rôle clé à jouer dans la défense contre la cybercriminalité organisée, et ils ont à juste titre trouvé leur place dans les versions actuelles de l'ISO/IEC 27001 et de l'ISO/IEC 27002. Grâce à la mise à jour et à l'analyse continues des informations disponibles sur les menaces, à la surveillance étendue des activités dans leurs propres infrastructures informatiques et à la sécurisation de leurs propres systèmes contre les sites web douteux, les entreprises renforcent durablement leur protection contre l'intrusion de logiciels malveillants dangereux. Elles se mettent également en position d'initier des mesures de réponse appropriées à un stade précoce.

Les entreprises et organisations doivent maintenant mettre en œuvre les trois contrôles/mesures présentés en conséquence et les intégrer de manière cohérente dans leur SGSI afin de répondre aux exigences des futurs audits de certification. DQS dispose d'une expertise complète de plus de 35 ans dans le domaine des audits et des certifications impartiaux - et se fait un plaisir de vous soutenir dans le management des changements de votre système de management de la sécurité de l'information conformément à la norme ISO/IEC 27001:2022.

Que signifie la mise à jour pour votre certification ?

La norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022. Il en résulte les échéances et délais suivants pour la transition des utilisateurs :

• Préparation à la certification ISO/IEC 27001:2022 prévue entre février et mai 2023 (sous réserve de notre organisme d'accréditation DAkkS, Deutsche Akkreditierungsstelle GmbH).
• La dernière date pour les audits initiaux/de recertification selon l'"ancienne" norme ISO 27001:2013 est le 31 octobre 2023 Après le 31 octobre 2023, DQS effectuera des audits initiaux et de recertification uniquement selon la nouvelle norme ISO/IEC 27001:2022.
• Conversion de tous les certificats existants selon l'"ancienne" norme ISO/IEC 27001:2013 à la nouvelle norme ISO/IEC 27001:2022 : Une période de transition de trois ans s'appliquera à partir du 31 octobre 2022. Les certificats émis selon ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 seront valables jusqu'au 31 octobre 2025 au plus tard ou devront être retirés à cette date.

Un SMSI de pointe avec l'expertise de DQS

Lors de la transition vers la nouvelle version d'ISO/IEC 27001, les organisations ont encore un peu de temps. Les certificats actuels basés sur l'ancienne norme perdront leur validité le 31.10.2025. Néanmoins, il est conseillé de s'occuper très tôt des exigences modifiées du SMSI, de lancer des processus de changement appropriés et de les mettre en œuvre en conséquence.

En tant qu'experts en audits et en certifications, forts d'une expérience de plus de trois décennies, nous vous soutenons dans la mise en œuvre de la nouvelle norme. Informez-vous auprès de nos nombreux auditeurs expérimentés sur les changements les plus importants et leur pertinence pour votre organisation - et faites confiance à notre expertise. Ensemble, nous discuterons de votre potentiel d'amélioration et vous soutiendrons jusqu'à l'obtention du nouveau certificat. Nous sommes impatients de vous entendre.