Dans un article précédent, j’ai dit à quel point il était important pour les entreprises de taille moyenne de dépenser en sécurité : “Plus vous dépensez, plus vous serez en mesure de pénétrer, même si la cible est finalement plus grande.” Pour les gangs de rançongiciels par exemple, le retour sur investissement est essentiel – ils demandent, comment puis-je obtenir le meilleur retour pour le moindre investissement ? Ils ont constaté que certains segments, comme la fabrication, ont un rendement supérieur à la moyenne, ils les ciblent donc, et le marché intermédiaire a un rendement beaucoup plus élevé que la plupart, donc ils le ciblent également.
Si vous n’avez pas investi dans la sécurité au cours des 5 dernières années, vous venez d’un endroit où vous êtes en retard, et il n’y a aucun moyen de jouer au rattrapage qui n’implique pas de dépenser de l’argent. Vous devrez peut-être augmenter vos dépenses d’un an pour rattraper votre retard d’une manière qui montrera vraiment de la valeur et vous amènera à la parité. Alors, comment aborder cela, étant donné que les budgets se resserrent ?
Commencer par l’auto-évaluation et les outils existants
Ma recommandation serait de commencer par le Auto-évaluation NIST pour la maturité et la sécurité, et vraiment voir où vous placez. Je viserais (en tant que bonne cible) d’être dans la gamme de 2,5 à 2,9. 3 serait évidemment bien, mais si vous êtes en dessous de ces 2,5 à 2,9, vous allez avoir un énorme rattrapage.
La bonne nouvelle est que vous avez des fruits à portée de main. 3 est une maturité importante de l’espace : à mesure que nous entrons dans les 3, nous nous concentrons davantage sur l’auditabilité et la répétabilité. Si vous êtes dans la fourchette haute de 1,5 à 1,9, je serais à la recherche de services reproductibles dont vous pouvez tirer parti, pour faire avancer votre maturité et vraiment avoir un aperçu de l’espace, pour vous assurer que vous ne Vous n’avez pas déjà de gros trous dans votre environnement, ce qui est un autre problème dangereux.
L’une des choses que font les attaquants (considérez-les comme des indépendants) est qu’ils pénètrent dans une organisation, mais n’apportent aucun changement. Ils verront simplement jusqu’où ils peuvent aller et le documenteront, puis ils mettront l’exploit en vente. Pensez-y comme un échange d’affaires qui dit, hé, j’ai pénétré jusqu’ici dans cette organisation, voici un profil de l’organisation, puis ils vous le vendent au coin de la rue. Donc, si vous êtes dans les 1 bas à mi-haut, je commencerais vraiment à regarder : est-ce quelque chose qui s’est passé ? Y a-t-il quelque chose dont je devrais être conscient, comme une brèche historique qui n’a abouti à rien ?
Ensuite, vous devrez probablement dépenser de l’argent pour sécuriser votre périphérie, vos pare-feu. Cette partie de l’architecture a tendance à être un peu ancienne. Tous vos pare-feux sont-ils actuellement en maintenance ? Et peut-être qu’ils n’ont pas toutes les fonctionnalités dont vous avez besoin, activées et fonctionnelles.
Ensuite, j’examinerais probablement aussi l’accès réseau Zero Trust, pour résoudre certains des problèmes de sécurité qui s’y trouvent. J’ai vu beaucoup de pénétration de VPN ces derniers temps. Surtout ceux qui n’ont pas une utilisation approfondie de l’authentification multifacteur (MFA), ou où leur MFA est facilement vaincu. C’est la première partie de la conversation sur la sécurité.
Ensuite, regardez les gens – à l’intérieur et à l’extérieur de l’organisation
Là où je veux me concentrer ensuite, c’est qu’il est incroyablement difficile de former et de retenir les gens. Je le dis dans cet ordre, parce que si je les forme, je les ai rendus plus précieux sur le marché, et la sécurité est braconnée comme une folle. Donc, je veux réfléchir à où je fais ça, et comment je fais ça avec les gens ? J’ai tendance à conseiller, et à l’aborder en tant que CXO, comme suit : si aucune connaissance tribale n’est requise pour le rôle ou pour la fonction, je souhaite externaliser la fonction.
Je souhaite externaliser la fonction non pas parce que je souhaite réduire mes effectifs. Je manque généralement de monde, donc c’est peu probable. Mais si je peux utiliser un service géré, j’aurai peut-être quatre personnes à qui je pourrai décharger du travail. Ces quatre personnes sont difficiles à retenir pour moi, et si j’en perds une, j’ai perdu 25 % de mes capacités dans cet espace. Un magasin géré aura quatre cents personnes : s’il perd dix personnes, cela ne va pas perturber sa capacité à me fournir le service.
Considérez cela par rapport aux choses qui nécessitent des connaissances tribales, comme comprendre comment fonctionne mon entreprise, ce que fait mon entreprise et comment les opérations fonctionnent au sein de mon entreprise. C’est vraiment là que je veux concentrer mes gens. Où vous voulez commencer, où vous voulez fidéliser les gens et vraiment les concentrer, vous pouvez considérer comme le G de GRC (Gouvernance, Risque et Conformité). J’investirais là-dedans, probablement 40% d’investissement (hors de mon budget). Il n’y a qu’un nombre limité de formations que je peux donner à mon personnel, un nombre limité de personnes que je peux embaucher. Ainsi, toute personne que j’embauche n’est pas un investissement ponctuel, mais plutôt un investissement durable.
Je veux m’assurer que je possède l’architecture et la conception, et les personnes qui s’interfacent avec le juridique, et les personnes qui s’interfacent avec les opérations, et les personnes qui ont développé une approche plus douce et sont intégrées à mon organisation. Je ne souhaite pas nécessairement posséder les personnes qui surveillent mon SIEM ou surveillent mes pare-feu et l’activité de mon pare-feu. Je veux externaliser ces choses à des fournisseurs qui sont vraiment bons dans ce domaine.
Les fournisseurs de sécurité gérés peuvent voir le trafic à une échelle incroyablement grande et peuvent remarquer des modèles de trafic que nous ne pouvons pas voir car notre ensemble de données est trop petit. Les petits ensembles de données en sécurité vous nuisent. Ils ne vous aident pas. Je veux exploiter des ensembles de données massifs. Et donc tout cela dit, ce que je cherche à faire, c’est de construire un écosystème de talents, et c’est à la fois des talents à l’intérieur de mon organisation et des talents à l’extérieur de mon organisation.
Si j’envisage de consacrer 25 à 40 % de mon budget à des services de sécurité gérés, ils sont généralement accompagnés de licences logicielles : si j’externalise le SIEM, je ne maintiendrai probablement pas mon propre SIEM. Donc, si je paie actuellement pour Splunk, disons, je veux regarder mon service externalisé et dire, qu’est-ce que vous utilisez pour un SIEM ? Comment est-il licencié ? Est-il judicieux de tirer parti de mon Splunk, et si ce n’est pas le cas, comment puis-je atténuer le coût durable d’un contrat pour un équipement que je n’utiliserai pas. Si je suis en contrat de 3 ou 5 ans. Je souhaite rechercher un SIEM qui tirera parti des outils dont je dispose actuellement, sans augmenter mes coûts de contrat, sachant que je vais chercher à ne pas renouveler à l’avenir.
C’est donc 40 % d’investissement dans les personnes, 25 à 40 % dans les services. Cela laisse 20 à 35 % de nouveaux outils, selon leur âge actuel. Par exemple, Zero Trust Network Access va être une nouvelle dépense, tout comme les nouveaux pare-feu. La « protection de la périphérie » est susceptible d’être un point de dépense particulier, la mise à niveau d’un ancien logiciel de protection des terminaux vers quelque chose de plus moderne et contrôlé de manière centralisée, potentiellement géré.
Rassemblez-les – avec un calendrier basé sur les renouvellements de contrat
Les coûts n’augmentent pas nécessairement, mais les budgets diminuent. Ce que nous constatons à l’échelle mondiale, c’est que les budgets augmentent d’environ 4 %, ce qui représente en fait une diminution du budget compte tenu de l’augmentation de l’inflation d’environ 8,5 %. De plus, nous constatons une augmentation des coûts salariaux de 15 %. Ainsi, même avec une amélioration du budget de 4 %, vous êtes en réalité beaucoup plus proche d’une perte globale d’environ 12 %. Pendant ce temps, de nombreux grands fabricants sont toujours confrontés à de longs problèmes de chaîne d’approvisionnement, dans certains cas supérieurs à 12 mois.
C’est difficile parce que le travail ne devient pas plus facile : les exigences de sécurité deviennent plus complexes et le nombre de choses qu’on nous demande de faire ne diminue pas. Donc, je regarderais vraiment, où sont les endroits tangibles où je peux prendre mon champ vert, mes nouveaux ajouts de sécurité et de nouvelles capacités pour gérer l’organisation ? Ai-je une bonne stratégie sur la façon dont je vais tirer parti de ceux-ci et mesurer un retour sur investissement ? Sinon, j’envisagerais de les retarder.
Si une horloge expire et qu’il est temps de faire un renouvellement, mais que je ne verrai pas vraiment le remplacement pendant un an, c’est le moment de réfléchir, est-ce le bon moment pour exécuter ce renouvellement ? Ai-je vraiment besoin de créer un espace de tête de planification et un espace de tête opérationnel pour des choses que je ne verrai probablement pas avant 12 mois ? Alors, y a-t-il des choses que je pourrais retirer du budget de l’an prochain? Y a-t-il des choses que je peux retirer du budget de 2024 en 2023, si je ne suis pas en mesure d’exécuter d’autres choses ?
Quand il s’agit de contrats; si j’ai des outils et des services qui expirent en octobre, je devrais négocier ceux-ci en janvier. Si je négocie en janvier, premièrement, la possibilité de renouveler plus tôt procure un certain soulagement au fournisseur auprès duquel j’achète; et deuxièmement, si je ne suis pas en mesure de négocier des conditions que je trouve avantageuses pour moi, cela me donne neuf mois pour proposer un plan alternatif.
C’est la conversation que j’aurais maintenant, donc je sais où je vais obtenir de meilleures conditions et verrouiller ces choses. Je n’ai pas besoin de revoir ces décisions aujourd’hui. Là où je n’obtiens pas de meilleures conditions, c’est sur celles-ci que je veux me concentrer. Et en attendant, voici quelques projets de terrain vierge : nous avons un bon retour sur investissement potentiel et nous voulons vraiment redonner de la valeur à l’entreprise, mais je ne suis pas vraiment à l’aise de pouvoir répondre à ces questions en toute confiance. Je veux retarder ces choses et repousser leur coût dès maintenant, jusqu’à ce que nous le puissions.
La gestion budgétaire va devenir une chose plus importante en 2023, et je m’attends à ce que 2024 ne devienne pas plus facile. Comme en 2021 et 2020, nous avons dit: “2018 semble être un peu une fête par rapport à aujourd’hui!” Mais compte tenu de votre portefeuille existant, gérer les personnes qui apportent le plus de valeur pour leurs connaissances tribales et se concentrer sur les contrats qui nécessitent le plus d’attention au cours des 12 prochains mois, offre une voie à suivre.
