Objectifs du programme de cybersécurité (CPG) de la CISA avec Incydr

Le 28 juillet 2021, le président Biden a signé un mémorandum intitulé "National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems" ( mémorandum de sécurité nationale sur l'amélioration de la cybersécurité des systèmes de contrôle des infrastructures critiques). Comme beaucoup d'activités similaires à cette époque, il s'agissait d'une réponse à une série de cyberattaques parfois dévastatrices contre des infrastructures critiques, dont l'incident de Colonial Pipeline a été le plus visible. Avec le temps et l'apparition d'autres événements tels que Log4shell, il est clair que l'industrie a besoin d'aide lorsqu'il s'agit de sécuriser les technologies et les infrastructures critiques.

Après avoir suivi pendant un an les orientations du mémorandum du président Biden, la CISA (Cybersecurity & Infrastructure Security Agency) a mis au point un ensemble fantastique de ce qu'elle appelle des "objectifs de performance en matière de cybersécurité" (CPG). Il s'agit d'une liste de contrôle des principaux contrôles de sécurité, facile à utiliser, qui constitue un point de départ pour atteindre un niveau respectable de maturité en matière de sécurité. Elle présente des lacunes et pourrait bénéficier d'exigences de sécurité spécifiques à l'industrie, mais il s'agit d'une référence pratique qui couvre tous les points importants. Ses 37 exigences sont beaucoup plus faciles à gérer que tous les contrôles du NIST SP800-53, par exemple.

Évaluer la maturité

Que peut faire une organisation avec ce document ? Une bonne première étape consiste à utiliser ce guide pour obtenir un "état des lieux" des outils de sécurité d'une organisation, en particulier si votre équipe de sécurité n'a jamais effectué d'évaluation de la maturité auparavant. Les outils de sécurité ne sont que l'un des trois piliers d'un programme de sécurité, mais par rapport aux personnes et aux processus, ils sont faciles à inventorier. C'est pourquoi les organisations commencent par dresser un inventaire des outils de sécurité. et cette liste de contrôle peut faciliter cette discussion.

Aucun outil de sécurité n'est capable de couvrir toutes les exigences contenues dans ces trois douzaines de points, et de nombreuses organisations peuvent avoir plus d'une option lorsqu'il s'agit d'une exigence particulière. Il est donc important d'analyser vos outils et votre architecture de sécurité pour voir où se situent les lacunes et où vous pourriez couvrir plusieurs exigences avec une seule solution. Il existe des centaines, voire des milliers, d'outils de sécurité sur le marché aujourd'hui et il est difficile pour une personne de les connaître tous. Cependant, je connais bien Mimecast Incydr et Instructor, et ce sont de bons exemples de la manière dont un produit peut contribuer à répondre à plusieurs des exigences de cette liste de contrôle récemment publiée.

Exigences en matière de réunions à Mimecast

Appareils non autorisés avec Mimecast Incydr

En ce qui concerne l'exigence d'interdire la connexion de dispositifs non autorisés (2.4), Incydr offre une visibilité sur les dispositifs de médias amovibles et sur tout mouvement de données non autorisé vers ces dispositifs. Il est intéressant de noter que cette exigence est classée comme étant d'une grande complexité ; Incydr offre un moyen simple d'obtenir une visibilité sur les supports amovibles sans politiques compliquées et avec une configuration minimale. Cette exigence n'est pas aussi complexe qu'elle en a l'air. Incydr peut également aider à soutenir les politiques qui interdisent l'utilisation de ces types de dispositifs dans l'exigence de documenter les configurations des dispositifs (2.5), encore une fois en fournissant une visibilité sur l'utilisation des supports amovibles. La qualité des politiques dépend des contrôles techniques mis en place pour détecter les violations, et Incydr fournit cette capacité de détection.

Formation à la cybersécurité avec l'enseignement intégré de la sécurité

La formation à la cybersécurité est un autre pilier essentiel des programmes de sécurité réussis et figure à juste titre dans la liste de contrôle du CISA. Améliorez les habitudes de sécurité de vos employés et réduisez les risques liés aux données grâce à la formation à la sécurité Mimecast Instructor - directement intégrée à Incydr. Instructor peut aider à répondre aux exigences de formation qui sont à la fois généralisées et spécifiques à l'activité en ce qui concerne les exigences de la formation de base à la cybersécurité (4.3) et de la formation à la cybersécurité de la technologie opérationnelle (OT) (4.4). En fournissant une formation à la sécurité contextuelle et juste à temps qui aborde les comportements potentiellement risqués, Instructor est beaucoup plus efficace que la plupart des autres types de formation.

Commencez avec la liste de contrôle CPG de la CISA

J'espère que cette brève présentation a été utile pour montrer comment cette liste de contrôle peut être utilisée pour évaluer la maturité d'une équipe de sécurité et la couverture des outils, et comment les outils de la pile de sécurité, tels qu'Incydr et Instructor, peuvent répondre à de multiples exigences. Lorsqu'il s'agit d'évaluer la maturité et l'efficacité d'un programme de sécurité, il peut être difficile de savoir par où commencer compte tenu de tous les cadres, guides et obligations de conformité qui existent. Les objectifs de performance en matière de cybersécurité de la CISA sont une ressource simple à appliquer que les entreprises de toute taille peuvent utiliser comme point de départ pour découvrir la couverture de leurs outils de sécurité et leurs lacunes à tout moment de leur parcours en matière de sécurité.

**Ce blog a été initialement publié le 28 juillet 2021.