CyberArk, l'entreprise qui protège les organisations contre les cyberattaques ayant réussi à s'introduire insidieusement à l'intérieur du réseau, lance une nouvelle initiative sectorielle et publie un rapport avec des informations de cybersécurité et des recommandations de pair-à-pair récoltées auprès de responsables de la sécurité des systèmes d'information (RSSI) issus de 1 000 entreprises mondiales.

Cette initiative CISO View repose sur une enquête indépendante soutenue par CyberArk.

L'expertise collective des participants au CISO View en gestion de vastes déploiements de sécurité en entreprises a été résumée dans un nouveau rapport intitulé :

"The Balancing Act: The CISO View on Improving Privileged Access Controls".

Les RSSI d'ANZ, de Carlson Wagonlit Travel, CIBC, CSX Corporation, ING Bank, Lockheed Martin, Manulife, McKesson, Monsanto Company, News UK, Rockwell Automation et de Starbucks y partagent des conseils pratiques afin d'instaurer une harmonie organisationnelle, de mettre en place des programmes de sécurité durables des comptes à privilèges et de mesurer l'efficacité des contrôles.

Faire de la sécurité des comptes à privilèges une priorité organisationnelle

L'un des objectifs de l'initiative sectorielle CISO View est de fournir à la communauté des RSSI un forum qui leur permettra de partager leurs meilleures pratiques et des recommandations concrètes afin de déployer des programmes de sécurité efficaces.

Dans ce rapport, les nombreux RSSI ont mis la priorité sur les risques de violation des identifiants privilégiés qui forment le dénominateur commun de presque toutes les cyberattaques. Selon les avis récoltés, les organisations prennent peu à peu conscience des risques inhérents aux menaces avancées, et bon nombre d'entre elles ont renforcé de façon proactive le contrôle des accès à privilèges afin de réduire les risques.

« Si votre gestion des comptes à privilèges laisse à désirer, vos adversaires pourront plus facilement intégrer votre réseau entier, déclare Jim Connelly, VP et RSSI de Lockheed Martin. S'ils (les pirates informatiques) parviennent à prendre possession d'un compte hautement privilégié, ils se propageront dans votre environnement aussi vite qu'un feu de paille. »

Comme l'illustre une enquête mondiale de CyberArk qui sera bientôt publiée, la sécurité des comptes à privilèges est devenue la priorité organisationnelle. Les interrogés - principalement des professionnels de la sécurité IT - n'ont classé la sécurité des comptes à privilèges qu'en seconde position, et ont désigné la sécurité périphérique comme étant la priorité de leurs programmes de sécurité.

CISO View - Atout commercial et définition des bons indicateurs

Composé de recommandations pratiques inédites sur le marché, le rapport dépeint l'expérience durement acquise des différents intervenants. Il décrit les difficultés liées au déploiement de vastes programmes visant à optimiser les contrôles des accès privilégiés dans les grandes entreprises et les défis inhérents au personnel, aux processus et à la technologie.

Le rapport apporte des conseils avisés dans trois domaines clés :

• Les décisions stratégiques que les RSSI et leurs équipes doivent prendre, incluant la manière d'établir des priorités non seulement sur la base des risques mais aussi en fonction des opportunités commerciales

• Les débats que les RSSI doivent mener à tous les niveaux de l'organisation, comme par exemple comment négocier avec les différentes parties prenantes et influencer leurs décisions

• Les composants essentiels d'un programme fructueux, tels que la façon de mettre en place des indicateurs pour mesurer les résultats commerciaux et les performances en matière de sécurité

Les RSSI interrogés décrivent des moyens spécifiques d'harmoniser les objectifs sécuritaires et commerciaux, comme par exemple :

• Définir une valeur commerciale : déterminer la limite entre « suffisamment sécurisé » et « trop restrictif »

• Se concentrer sur des indicateurs pertinents : utiliser des indicateurs pour opérer des redressements de cap, mesurer l'efficacité des contrôles, et déterminer leur impact sur la disponibilité du système et sur les performances des applications

• Etablir des jalons : définir des objectifs initiaux en accord avec les partenaires commerciaux, travailler par phases afin de minimiser les perturbations opérationnelles, et tirer profit des premiers accomplissements en créant des schémas de répétition des processus

« Nous pensons que CISO View est une initiative sectorielle importante qui aidera les organisations désireux d'optimiser les contrôles d'accès privilégiés à prendre des décisions informées et pragmatiques, déclare John Worrall, Responsable du marketing chez CyberArk.

Les recommandations de pairs peuvent être une ressource inestimable pour les RSSI qui tentent de venir à bout des cybermenaces évolutives qui frappent leurs organisations. Nous remercions vivement tous les experts qui ont contribué au rapport, et saluons leur volonté d'aider la communauté à résoudre les problèmes de sécurité qui touchent actuellement les entreprises. »

Pour plus d'information sur « The Balancing Act: The CISO View on Improving Privileged Access Controls ». Ce rapport a été créé dans le cadre de CISO View, une initiative sectorielle soutenue par CyberArk. Le rapport a été rédigé par le cabinet d'étude indépendant Robinson Insight.