Comment ces initiatives australiennes en matière de sécurité peuvent-elles aider votre entreprise ?
Table des matières:
Ces dernières années, les organisations australiennes ont été confrontées à une vague croissante de cybermenaces, soulignées par des violations de données très médiatisées et des cyberattaques sophistiquées. Cette tendance inquiétante met en évidence la nécessité cruciale de mesures de cybersécurité robustes. Entrez dans le Centre australien de cybersécurité (ACSC) Huit essentiel et le ministère de l'Éducation, des Compétences et de l'Emploi (DESE) Cadre Right Fit for Risk (RFFR).
Ceux-ci constituent la pierre angulaire de la défense en matière de cybersécurité, renforçant les initiatives du gouvernement albanais visant à améliorer la cyber-résilience nationale. Cependant, elles peuvent être considérées comme complémentaires plutôt que comme remplaçant la norme internationale ISO 27001.
Comprendre les cadres
L’Essential Eight est un ensemble de stratégies visant à fournir une posture de base en matière de cybersécurité aux organisations. Celles-ci sont conçues pour atténuer diverses cybermenaces, en soulignant l'importance de mesures proactives telles que le contrôle des applications, l'application de correctifs, la restriction des privilèges administratifs, l'authentification multifacteur (MFA) et des sauvegardes régulières.
Selon Edward Farrell, PDG et consultant principal chez Mercury Information Security Services, l'Essential Eight est né d'une analyse des causes profondes des cyber-intrusions sur près d'une décennie.
"Il s'agissait à l'origine des quatre principales mesures d'atténuation qui faisaient partie des 35 mesures d'atténuation destinées à faire face aux cyber-intrusions", a déclaré Farrell à ISMS.online. « Aujourd'hui, il est intégré à l'Essential Eight, qui traitait d'une pléthore de nouvelles attaques qu'ils voyaient. Ainsi, des choses comme les macros Office, la violation de MFA, la violation des informations d’identification du nom d’utilisateur et du mot de passe en devinant le mot de passe, et les problèmes avec Java et Flash, ainsi que d’autres choses.
RFFR complète les Essential Eight en proposant une approche plus adaptée à la gestion des risques de cybersécurité. Il se concentre sur la compréhension et la résolution des vulnérabilités spécifiques au sein d’une organisation, en encourageant une culture d’amélioration continue et de gestion des risques. Ensemble, ces initiatives gouvernementales aident les organisations non seulement à se protéger contre les menaces connues, mais également à s'adapter et à répondre aux nouveaux défis à mesure qu'ils surviennent, garantissant ainsi une posture de cybersécurité robuste face à l'évolution des menaces.
Des violations à gogo
Une récente vague de violations de données en Australie souligne le défi croissant auquel sont confrontées les organisations nationales. Un Rapport du commissaire australien à l'information La période janvier-juin 2023 a révélé un total de 409 violations, ce qui représente une légère diminution par rapport à la période précédente mais souligne la menace persistante, les attaques malveillantes ou criminelles représentant 70 % de ces incidents. Les secteurs de la santé et de la finance sont apparus comme les principales victimes.
Cependant, aucune organisation n’est aujourd’hui à l’abri d’une compromission potentielle. Incidents récents notables comprendre une violation chez MyDeal, filiale de Woolworths, affectant environ 2.2 millions de clients, et des incidents affectant des entités telles que Nissan, l'Université de Wollongong, Boeing, Sony, Duolingo, Pizza Hut et DP World Australia. Celles-ci allaient des attaques de ransomwares et du grattage de données au vol d'informations sensibles sur les clients et les employés.
La diversité et la fréquence de ces incidents soulignent l’importance de mettre en œuvre des mesures de cybersécurité robustes telles que les Huit Essentiels et le RFFR, afin de renforcer la résilience face aux cyber-risques croissants.
L'effort de cybersécurité du gouvernement albanais
En réponse à l'évolution du paysage des menaces, le gouvernement albanais a pris des mesures importantes pour renforcer la cybersécurité du pays, notamment une nouvelle stratégie nationale de cybersécurité.
Farrell suggère toutefois la nécessité d’une stratégie plus nuancée, adaptée aux besoins uniques des organisations et secteurs australiens spécifiques.
« La réalité est que nous effectuions des contrôles de cyber-santé pour les petites entreprises en 2018… et ils n'ont vraiment pas décollé », affirme-t-il.
Huit essentiels par rapport à ISO 27001
L’Essential Eight se concentre sur des stratégies pratiques pour atténuer les incidents de cybersécurité, spécifiquement conçues pour lutter contre les cybermenaces courantes. Ses mesures simples et exploitables sont conçues pour une mise en œuvre immédiate, couvrant des aspects tels que la liste blanche des applications, l'application de correctifs et la restriction des privilèges administratifs. Il est particulièrement efficace pour les organisations qui recherchent des lignes directrices claires et directes pour améliorer leur résilience en matière de cybersécurité.
La norme ISO 27001, quant à elle, fournit un cadre complet pour gérer la sécurité de l'information via un système de gestion de la sécurité de l'information (ISMS). Il propose une approche holistique de la sécurité de l’information, ne se limitant pas aux cybermenaces mais englobant toutes les formes de sécurité de l’information. La norme ISO 27001 exige que les organisations évaluent leurs risques en matière de sécurité de l'information et mettent en œuvre des contrôles appropriés adaptés à leurs besoins spécifiques. Cette norme met l'accent sur l'amélioration continue et le respect d'un ensemble d'exigences spécifiées.
RFFR par rapport à ISO 27001
RFFR est plus proche de la norme ISO 27001. Elle encourage les organisations à adopter une approche de gestion des risques adaptée à leur contexte opérationnel spécifique. Il s'aligne étroitement sur les principes d'évaluation et de gestion des risques de la norme ISO 27001, mais est spécifiquement contextualisé pour l'environnement australien de cybersécurité. Alors que la norme ISO 27001 fournit un cadre général applicable à divers secteurs à l'échelle mondiale, RFFR se concentre sur les risques de cybersécurité uniques auxquels sont confrontées les entités australiennes.
Une approche plus large
Il est conseillé aux organisations australiennes d'intégrer les normes Essential Eight, RFFR et ISO 27001 pour une stratégie de cybersécurité complète.
« Les cadres sont parfaits s'il s'agit d'un environnement très soigné et ordonné… alors que je pense que les changements contextuels et la compréhension du domaine dans lequel vous évoluez vont varier à chaque fois », affirme Farrell.
Il souligne l’importance de l’adaptabilité. Et la nécessité pour les organisations de mettre en œuvre non seulement les mesures de sécurité fondamentales fournies par les Huit Essentiels, mais également les aspects plus larges de gouvernance et de gestion des risques de la norme ISO 27001 et les stratégies de risque contextualisées de RFFR.
Mise en œuvre des cadres
La mise en œuvre d’initiatives de cybersécurité telles que les Essential Eight, RFFR et ISO 27001 peut s’avérer complexe, mais une approche ciblée permet de relever les défis. Selon Phillip Ivancic, responsable des solutions APAC chez Synopsys Software Integrity Group, l'un des plus grands obstacles est de maintenir une culture dans laquelle les contrôles de sécurité sont appliqués de manière cohérente, même lorsqu'ils ne sont pas pratiques.
« L'Essential Eight lui-même recommande des étapes de base telles que le maintien des correctifs, la limitation de l'accès administratif et la garantie que les sauvegardes sont conservées et testées. Tous des contrôles apparemment simples et de bon sens. Cependant, en parlant aux clients, le plus grand défi auquel ils sont confrontés est de maintenir une culture consistant à exécuter ces contrôles jour après jour », a-t-il déclaré à ISMS.online.
« Les membres du personnel doivent comprendre leur importance, et il doit y avoir une culture qui maintient ces contrôles de base en place même lorsqu'ils ne sont pas pratiques. Il ne s'agit tout simplement pas d'un travail « ponctuel », mais d'un cadre pour des disciplines continues.
La mise en pratique d’Essential Eight et d’ISO 27001 nécessite de relever des défis tels que l’allocation des ressources, l’intégration avec les systèmes actuels, l’évolution des menaces et la sensibilisation des employés. Pour ce faire, les organisations doivent procéder à des évaluations approfondies des risques pour définir des priorités, allouer des ressources suffisantes, adopter une approche progressive pour gérer la complexité, cultiver une culture soucieuse de la sécurité et mettre régulièrement à jour les pratiques de sécurité pour contrer les nouvelles menaces.
« Pour les grandes organisations, l'automatisation de la gestion des vulnérabilités via les outils Application Security Posture Management (ASPM), où les résultats des tests d'intrusion manuels sont automatiquement comparés aux outils d'analyse avec des recommandations hiérarchisées, est la plus grande tendance parmi mes clients », ajoute Ivancic.
En faisant appel à une expertise externe et en utilisant l’automatisation pour plus d’efficacité, les organisations peuvent renforcer leurs défenses en matière de cybersécurité de manière pratique et durable. La formation continue reste essentielle pour garantir que tous les membres du personnel comprennent l'importance des contrôles de sécurité et font preuve de discipline pour les maintenir de manière cohérente.
L'avenir de la cybersécurité australienne
Alors que l’Australie fait face à un paysage de menaces en évolution, des initiatives telles que Essential Eight et RFFR et des normes de bonnes pratiques telles que ISO 27001 restent les pierres angulaires d’une approche proactive de la cybersécurité.
Anticipant les futures initiatives gouvernementales, Farrell suggère de s'efforcer de « renforcer la collaboration entre les secteurs public et privé » et d'investir de manière significative dans « l'éducation à la cybersécurité et le développement de la main-d'œuvre ». Ces efforts devraient contribuer à améliorer le partage de renseignements sur les menaces et d’informations sur les vulnérabilités, favorisant ainsi un écosystème de cybersécurité plus résilient dans toute l’Australie.
Les cadres et normes de bonnes pratiques devraient également évoluer en fonction du paysage des menaces. Le défi, comme toujours, sera d’éviter de rattraper la communauté de la cybercriminalité.
