Les 8 actions concrètes que les experts en cybersécurité vous recommandent cette semaine

L’ENISA vient de publier un guide de 73 pages sur la cybersécurité pour les PME (le playbook ENISA). C’est rigoureux, mais soyons honnêtes, qui lit vraiment tout ça ? A part moi, qui ai un faible pour ce genre de littérature…

The Security Brutalist (dont je suis un grand fan, retrouvez le sur securitybrutalist.com), a réduit tout ça à 8 actions pas compliquées, mais pas marrantes non plus. C’est pourquoi les gens les zappent.

Les 8 Actions #

1. Patchez comme si votre vie en dépendait. Les failles critiques sous quelques jours, pas quelques mois. Si l’asset est exposé sur internet et non patché, traitez-le comme s’il était déjà compromis.

2. MFA partout. Pas d’exceptions : email, VPN, portails d’admin… Si ça supporte le MFA, ça doit être en place. Si ça ne peut pas, isolez-le (service/asset/…).

3. Supprimez les droits d’admin locaux. Vos directeurs n’ont pas besoin de droits admin pour ouvrir PowerPoint. Mais les malwares aiment ce genre de privilège.

4. Logging sérieux. Si ce n’est pas loggé, ça ne s’est pas passé. Configurez vos détections comme si vous étiez en train d’être attaqués.

5. Sauvegardez comme un historien parano. Sauvegardes régulières, chiffrées, testées. Testez les restaurations trimestriellement. Si ça n’a pas été testé, ce n’est pas une sauvegarde, c’est un boulet.

6. Privilège minimum partout. Donnez l’accès comme si vous ne faisiez confiance à personne. Parce que ça devrait être le cas.

7. Formations qui tuent. Bye bye les formations e-learning cliquables. Faites des démos en live. Montrez les conséquences réelles.

8. Inventoriez ou mourez. Vous ne pouvez pas sécuriser ce que vous ne savez pas existant. Les surprises, c’est par là que les soucis commencent.

Le Piège #

Implémenter ces 8 actions ne va pas empêcher une crise. Ça vous donnera juste de (bien) meilleurs outils quand elle arrivera.

Ce que ça ne vous donne pas, c’est la capacité à prendre des décisions sous pression. C’est un muscle différent.

Vous pouvez avoir un patching parfait et quand même subir une crise au cours de laquelle votre équipe “bloque”. Vous pouvez avoir un MFA impeccable, il faudra toujours décider : “on paie la rançon ou pas” ? Qui passe cet appel ? Qu’est-ce qu’on dit au board ?

Ce sont des décisions humaines. Aucun outil ne peut pratiquer ça pour vous.

Par où Commencer #

Choisissez-en une. Juste une.

Pas sûr laquelle ? Commencez par la numéro 7. L’humain est toujours la variable. Entraînez-le correctement et ils gérera le reste.

Ou alors, si vous voulez découvrir comment votre équipe prend des décisions sous pression, c’est exactement ce que nous faisons. Nous organisons des jeux de simulation de crise qui testent la partie humaine que les outils ne peuvent pas toucher.

Laquelle de ces 8 actions travaillez-vous cette semaine ?

CrisisGames. Kaos approved.