Le nouveau cyber-conseil s’attaque aux défis de l’infosec d’un point de vue technologique

  • FrançaisFrançais


  • Tracy Holtz, coprésidente du Conseil consultatif sur la cybersécurité de CompTIA, directrice des solutions de sécurité pour Tech Data Corporation. (Photo par Everardo Keeme www.everardokeeme.com.)

    La cybercriminalité est un fléau pour toutes les industries, mais un problème lié à la technologie à sa base. Il est donc logique que les principaux experts en informatique et fournisseurs de solutions infosec se mobilisent pour fournir des conseils clés à la communauté technologique sur la manière de protéger les clients contre les cybermenaces courantes.

    À cette fin, l’association professionnelle informatique à but non lucratif CompTIA a officiellement annoncé ce mois-ci le lancement de son nouveau conseil consultatif sur la cybersécurité. L’organisme sur invitation uniquement fournira un contenu informatif, des conseils et des recommandations au secteur de la technologie, mais prévoit que bon nombre de ses plats à emporter seront applicables dans plusieurs secteurs.

    Il a déjà progressé avec trois initiatives majeures, l’une conçue pour aider à éduquer les cadres de niveau C sur la cybersécurité, une autre se concentrant sur la façon de créer un programme infosec mature, et une troisième examinant les principales politiques de cybersécurité et les réglementations en matière de confidentialité, et comment s’y conformer. .

    En février 2020, CompTIA a commencé à développer le concept et à recruter des experts en la matière – maintenant 16 au total. En novembre, le conseil a organisé sa première réunion virtuelle, créant un ordre du jour pour l’année à venir. Le conseil sera coprésidé par Tracy Holtz, directrice des solutions de sécurité pour Tech Data Corporation, et Kevin McDonald, directeur de l’exploitation et directeur de la sécurité de l’information chez Alvaka Networks. Kevin Nikkhoo, PDG de XeneX, assumera les fonctions de vice-président.

    Pourtant, les associations, organisations et alliances de cybersécurité ne manquent pas. Qu’est-ce qui rend celui-ci différent? Qu’est-ce que les membres de ce conseil particulier apportent exactement à la conversation?

    Coprésident du conseil Kevin McDonald

    «Ce sont les enseignants les plus éminents et les leaders d’opinion en ce qui concerne les compétences de ceux qui touchent les ordinateurs du monde entier», a déclaré McDonald à SC Media. Lorsque les experts en technologie sont exclus des cyber-débats, «cela devient plus une discussion commerciale éthérée plutôt qu’une conversation orientée vers les solutions, comment-pouvons-nous-résoudre-les-problèmes-que-nous-voyons-tous les jours. ” McDonald a déclaré que des discussions vraiment productives sur la façon de se défendre correctement contre les cybermenaces doivent dépasser le bruit et se concentrer sur les défis de l’information auxquels les joueurs technologiques sont confrontés chaque jour.

    «Les fournisseurs de technologie ont été le moteur de l’industrie de la cybersécurité pendant la majeure partie de son existence», a ajouté Chris Morales, responsable de l’analyse de la sécurité chez Vectra et membre du nouveau cyber-conseil de CompTIA. «C’est là que se produisent une grande partie de l’innovation des outils et des techniques mis à profit dans la cyberdéfense et la guerre. Plus important encore, selon la définition même d’une cyberattaque, ce sont les entreprises technologiques qui sont les cibles et les catalyseurs des cyber-violations qui se produisent dans les organisations en premier lieu. Le secteur de la technologie ne peut pas être un spectateur oisif et doit apporter son expertise à la conversation de toutes les organisations et personnes qui exploitent cette technologie dans leur vie quotidienne.

    «Les chefs de file de la technologie sont les experts de la cyber-technologie et ont une sagesse et une expérience importantes à partager», a déclaré Diana Kelley, CTO et cofondatrice de SecurityCurve, un autre membre du conseil. «Nous savons ce qui est possible, où sont les risques et comment intégrer la résilience et la confidentialité dans les systèmes. Tirer parti de l’expertise du secteur de la technologie permettra au monde d’avancer avec la cyber-technologie rapidement, de manière responsable et éthique.

    Trois initiatives clés

    Le Conseil consultatif sur la cybersécurité prévoit d’exploiter une variété de méthodes de diffusion de contenu – y compris la documentation numérique (blogs, infographies, etc.), les podcasts, les webinaires et la sensibilisation des médias et des forces de l’ordre – pour faire avancer son programme et influencer son public cible.

    «Au cours de notre première année, le conseil consultatif examine les tendances générales qui sont intemporelles et persistantes», a déclaré Morales. «Les attaques sont tactiques et changent et s’adaptent au paysage et à l’époque. Notre objectif commencera par le haut, en mettant l’accent sur la validation des raisons pour lesquelles une organisation a besoin de cybersécurité, à quoi devrait ressembler ce programme et comment définir et mesurer le succès.

    «Nous nous concentrons sur la manière d’aider les entreprises à relever certains des défis difficiles et à long terme de la cybersécurité», a déclaré Kelley, notant que cela comprend: «l’alignement de la cybersécurité avec le conseil d’administration et l’entreprise et l’optimisation du programme de sécurité en tant que technologies émergentes telles que le cloud et l’IA / ML sont adoptés. Celles-ci sont prioritaires car ce sont des problèmes difficiles sur lesquels les entreprises ont besoin de soutien et de conseils. »

    La première des trois initiatives clés susmentionnées pour 2021 consiste à faciliter la communication entre les équipes de sécurité et la suite informatique en éduquant les cadres supérieurs sur les cyber concepts clés. Pour ce faire, a déclaré Holtz, le conseil concevra un contenu informatif pour inculquer des leçons telles que «là où le risque existe dans la cybersécurité» et «comment maximiser le retour sur investissement» des investissements cybernétiques.

    En ce qui concerne les cadres de niveau C, McDonald a déclaré qu’il y avait un «besoin désespéré» de remédier à leur «manque de connaissances techniques et de les rendre plus à l’aise avec la conversation entre l’informatique et la salle de conférence». La clé, a-t-il ajouté, est de les aider à savoir quelles questions poser et comment leur poser sans craindre de paraître mal informés ou peu avisés.

    «Et je trouve qu’ils ont beaucoup de pouvoir lorsque vous décomposez pour eux le« discours de geek »qu’ils entendent tout le temps», a déclaré McDonald. «Et ils sont bien meilleurs pour prendre des décisions qui sont bonnes pour eux-mêmes et pour leur organisation quand quelqu’un ralentit, s’arrête avec les acronymes, explique pourquoi ce qu’on lui dit est important et lui permet d’exercer son devoir fiduciaire de manière à ce qu’il ne peut pas quand ils ont peur parce qu’ils ne savent même pas quelles questions poser.

    La deuxième initiative du conseil aide les entreprises technologiques à comprendre comment créer un programme infosec efficace et mature, y compris par où commencer et par quoi prioriser. «Cela peut être extrêmement écrasant», a déclaré Holtz, et les simples pare-feu et la détection des menaces des terminaux ne suffisent pas. Pour cette raison, la direction du conseil a l’intention de «construire une feuille de route» pour aider les entreprises à atteindre une sécurité réseau appropriée, tout en recommandant diverses «mesures pouvant être exploitées» et des «guides tactiques sur les politiques et procédures» pour aider à mettre en œuvre une meilleure sécurité.

    «Personnellement, je suis passionné par les mesures qui montrent la résilience et la préparation aux incidents en tant que normes de l’industrie qui peuvent être utilisées pour évaluer le niveau de maturité d’un programme de sécurité, l’efficacité de la technologie et l’efficacité organisationnelle», a déclaré Morales. «Une fois que nous mesurons, nous comprenons notre véritable capacité. Il est important que nous mesurions les bonnes choses. »

    Troisièmement, le conseil tentera d’aider les développeurs de technologies, les fournisseurs, les revendeurs et les partenaires tiers à affiner leurs politiques internes de sécurité et de confidentialité tout en se conformant à un éventail vertigineux de réglementations étatiques et fédérales.

    «Nous pensons qu’avoir la parité entre les États et simplifier le paysage réglementaire est vraiment important parce que c’est très difficile… lorsque vous avez 50 lois différentes sur la cybersécurité auxquelles vous devez faire face», a déclaré McDonald. «Et si vous avez des clients dans 30 de ces États, vous avez juste une myriade ridicule de règles que vous devez suivre, et elles sont souvent en conflit et il est difficile de gérer les politiques internes. Une partie de cela consisterait donc à essayer de trouver un certain niveau sur lequel tout le monde peut s’entendre. Ce sont les bases, ce sont les choses que nous devons faire, et ce sont les choses qui vous aideraient à vous défendre contre les acteurs de menace les plus courants. »

    En tant que mission parallèle, le conseil devrait également examiner le CompTIA Security Trustmark +, qui est une sorte de certification accordée aux entreprises qui mettent en œuvre avec succès une liste de contrôle des politiques et des procédures conçues pour détecter, défendre, répondre et récupérer violations et autres incidents de sécurité, d’une manière conforme au cadre de cybersécurité du NIST et aux principales réglementations fédérales.

    Annette Taber, CompTIA.

    CompTIA compte déjà six autres conseils – dont ceux se concentrant sur l’intelligence artificielle, la blockchain, les drones, l’Internet des objets, les applications commerciales et le développement de canaux. Chaque année, CompTIA rassemble les sept conseils pour réfléchir collectivement à une question plus vaste. Cette année, nous allons nous concentrer sur la main-d’œuvre distante et tous les éléments de sécurité qui l’entourent », a déclaré Annette Taber, vice-présidente principale de la sensibilisation de l’industrie chez CompTIA.

    Les problèmes que le conseil peut potentiellement aborder dans les années à venir ne manquent pas. Kyle Hanslovan, membre du Conseil et PDG de Huntress Labs, a déclaré qu’au cours de l’année 2020, les différents membres ont identifié ce qu’ils estimaient être les «tendances et facteurs clés qui influençaient les défenseurs ou accéléraient le succès des attaquants». Parmi eux figuraient de nouvelles surfaces d’attaque créées par l’essor des applications logicielles en tant que service, des lois cybernétiques plus strictes et la complexité de la «gestion des risques liés aux initiés, aux appareils et à la chaîne d’approvisionnement».

    Je m’attendrais à ce que les efforts futurs passent du niveau stratégique en aval de la chaîne à l’orientation opérationnelle et tactique et à l’éducation », a ajouté Hanslovan. Mais pour l’instant, «chaque membre du conseil reconnaît à quel point il est difficile pour les praticiens de savoir par où commencer en matière de sécurité et comment naviguer dans les réglementations et les politiques.»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *