GRC en Belgique :  de l'identification à la protection avec PROTECT

Dans notre précédent article de cette série consacrée à la GRC, nous avons exploré la fonction IDENTIFY du framework CyberFundamentals (CyFun®) : comprendre quels actifs existent, quels systèmes sont critiques et où les risques peuvent émerger.

Mais la visibilité à elle seule ne réduit pas les risques. Savoir quels actifs sont critiques est précieux, mais cela a peu d’impact si aucune mesure n’est prise pour les protéger. Une fois qu’une organisation comprend ce qui compte le plus, le défi suivant consiste à assurer la sécurité de ces actifs.

C’est là qu’intervient la fonction PROTECT.

PROTECT regroupe l’ensemble des mesures, contrôles et processus destinés à limiter les risques de cybersécurité et à réduire les conséquences d’un incident lorsqu’il survient. Elle répond à une question fondamentale  : Comment protéger nos actifs les plus importants ?

Qu’il s’agisse d’identités numériques, d’applications métiers critiques, de données sensibles ou encore d’environnements de technologie opérationnelle (OT), l’objectif est de garantir que ces actifs restent sécurisés, disponibles et résilients face aux menaces. 

1. La protection ne signifie pas tout protéger de la même manière

L’une des idées reçues les plus fréquentes en cybersécurité est que chaque actif doit bénéficier du même niveau de protection.

Dans les faits, cette approche n’est ni réaliste ni efficace. 

La visibilité apportée par IDENTIFY permet aux organisations d’établir des priorités. Un système critique nécessitera des mesures de protection plus strictes qu’un actif présentant peu de risques. L’impact métier, l’exposition aux menaces et les exigences réglementaires influencent directement le niveau de protection à mettre en place. 

C’est pourquoi la cybersécurité repose avant tout sur une approche basée sur les risques. Les organisations ne protègent pas tout de manière uniforme : elles concentrent leurs efforts sur ce qui est réellement essentiel à leur activité. 

2. Le principe de la défense en profondeur

Aucune mesure de sécurité n’est infaillible. 

Un mot de passe robuste peut être compromis. L’authentification multifacteur peut être contournée. Un collaborateur peut cliquer sur un lien de phishing. Certaines vulnérabilités peuvent passer inaperçues malgré les contrôles en place. 

C’est pourquoi PROTECT repose sur le principe de la  défense en profondeur.

Plutôt que de s’appuyer sur un seul mécanisme de sécurité, plusieurs couches de protection complémentaires sont mises en œuvre afin de réduire les risques. 

Une stratégie de protection moderne combine généralement :

• La sensibilisation des utilisateurs et le développement d’une culture de la sécurité 
• Les contrôles d’identité et d’accès
• La protection des postes de travail et des endpoints 
• La segmentation réseau
• La sécurisation des applications et des systèmes 
• Les mesures de protection des données

Si l’une de ces couches est contournée, les autres continuent à jouer leur rôle. 

L’objectif n’est pas de construire une forteresse impénétrable. Il s’agit avant tout de mettre en place plusieurs couches de protection afin de rendre les attaques plus difficiles à mener et d’en limiter considérablement l’impact. 

3. Ce que NIS2 attend de PROTECT

Dans le cadre de la directive NIS2, la protection ne relève plus uniquement des bonnes pratiques : elle constitue une exigence réglementaire. 

Plusieurs obligations sont directement liées à la fonction PROTECT, notamment :

• Les mécanismes de contrôle d’accès et d’authentification
• La sensibilisation et la formation à la cybersécurité
• L’utilisation sécurisée de la cryptographie et du chiffrement
• La gestion des vulnérabilités et des correctifs
• La protection des actifs et les configurations sécurisées
• La protection des réseaux et des systèmes d’information
• Les mesures de sécurité de la chaîne d’approvisionnement

Mettre ces mesures en place ne suffit pas. Les organisations doivent également pouvoir démontrer qu’elles sont effectivement appliquées, suivies dans le temps et adaptées au niveau de risque. 

C’est ici que la gouvernance et la documentation deviennent essentielles. NIS2 met davantage l’accent sur la capacité à démontrer un niveau de maturité en cybersécurité que sur de simples déclarations d’intention. 

4. Les piliers de PROTECT

 PROTECT s’articule autour de six piliers complémentaires qui contribuent à réduire les risques et à renforcer la résilience de l’organisation.  

4.1. Gestion des identités et des accès  (PR.AC)

L’accès doit être limité aux bonnes personnes, au bon moment et pour les bonnes raisons.

Cela comprend notamment :

• L’authentification multifacteur (MFA)
• Le principe du moindre privilège
• Les contrôles d’accès basés sur les rôles
• Les processus Joiner, Mover & Leaver
• La gestion des accès privilégiés (PAM)

Les contrôles d’identité restent aujourd’hui parmi les mesures de sécurité les plus efficaces à la disposition des organisations.

4.2. Sensibilisation et formation (PR.AT)

La technologie seule ne peut pas arrêter toutes les attaques.

Malgré les avancées technologiques, l’humain reste l’un des principaux vecteurs d’attaque exploités par les cybercriminels. La sensibilisation constitue donc une couche de protection essentielle. 

Les organisations devraient mettre en place :

• Des programmes de sensibilisation à la cybersécurité
• Des simulations de phishing
• Des formations adaptées aux différents rôles
• Des pratiques de travail sécurisées

Une véritable culture de la sécurité ne se construit pas lors d’une session annuelle de formation, mais grâce à un travail continu et à l’implication de chacun. 

4.3. Sécurité des données (PR.DS)

Les données représentent souvent la cible finale des attaquants. 

Les organisations doivent porter une attention particulière à :

• La classification des données
• Le chiffrement des données au repos et en transit
• Le stockage sécurisé
• Les politiques de conservation des données
• Les mesures de prévention des pertes de données (DLP)

L’objectif est de garantir que les informations restent protégées, même lorsqu’un système est compromis. 

4.4. Processus de protection de l’information (PR.IP)

La sécurité doit être intégrée aux opérations quotidiennes.

Cela inclut notamment :

• Des standards de configuration sécurisée
• La gestion des changements
• Les procédures de sauvegarde
• Les pratiques de développement sécurisé
• Les processus de sécurité opérationnelle

En matière de cybersécurité, la régularité et la cohérence sont souvent plus efficaces que la complexité. 

4.5. Maintenance (PR.MA)

Un système qui n'est pas maintenu régulièrement devient progressivement plus vulnérable aux menaces. 

Les organisations doivent veiller à :

• L’application rapide des correctifs
• La remédiation des vulnérabilités
• La gestion du cycle de vie des systèmes
• La révision régulière des logiciels non pris en charge

Une grande partie des cyberattaques exploite encore aujourd’hui des vulnérabilités pour lesquelles des correctifs existent déjà. 

4.6.  Technologies de protection  (PR.PT)

Les technologies apportent les mécanismes techniques qui renforcent l’ensemble des autres couches de protection. 

Parmi les exemples :

• La protection des endpoints
• La segmentation réseau
• Les pare-feux
• Les fondations de journalisation et de monitoring
• Les contrôles d’accès à distance
• Le durcissement des systèmes

La technologie est indispensable, mais elle n’est réellement efficace que lorsqu’elle s’appuie sur des processus solides et des utilisateurs sensibilisés. 

De la visibilité à la résilience

Là où IDENTIFY aide les organisations à comprendre ce qu’elles possèdent, PROTECT veille à ce que ces actifs soient correctement protégés.

Ensemble, ces deux fonctions constituent les fondations d’un programme de cybersécurité mature. Sans visibilité, les efforts de protection risquent d’être mal ciblés. Sans protection, la visibilité seule apporte peu de valeur. 

La maturité en cybersécurité ne se mesure pas au nombre d’outils déployés, mais à la capacité d’appliquer les bonnes mesures de protection de manière cohérente et durable.