+1 (800) 440 1904

Blog de DriveSavers

Les mises à jour de la division de la sécurité informatique du NIST entrent en vigueur aujourd'hui - Votre sécurité est-elle à jour ?

Par Michael Hall, responsable de la sécurité de l'information

A partir d'aujourd'hui, Division de la sécurité informatique du NIST vient de mettre à jour ses lignes directrices recommandées en éliminant onze publications SP 800.

Additionner en soustrayant

En quoi l'élimination des recommandations en matière de sécurité constituerait-elle une amélioration ?
Ces onze publications font toutes référence à des technologies obsolètes ou qui ne sont plus utilisées, ainsi qu'à des mises en œuvre qui ont été améliorées depuis la rédaction initiale de ces lignes directrices. Par conséquent, l'élimination de ces anciens articles permet de désencombrer le site et de faciliter l'accès et la mise en œuvre des recommandations plus actuelles et mises à jour contenues dans les publications SP 800 restantes.
Voici les sections supprimées et les raisons pour lesquelles elles l'ont été Annonce du NIST:

  • SP 800-13 (octobre 1995), Lignes directrices sur la sécurité des télécommunications pour le réseau de gestion des télécommunications :
    • Décrit les technologies qui ne sont plus d'actualité.
  • SP 800-17 (février 1998), Système de validation des modes de fonctionnement (MOVS) : Exigences et procédures :
    • Ce système de validation concerne les algorithmes qui ont été abandonnés (par exemple, DES, Skipjack). Pour plus d'informations sur les systèmes actuels de validation des algorithmes, voir le Cryptographic Algorithm Validation Program (CAVP).
  • SP 800-19 (octobre 1999), Mobile Agent Security :
    • L'environnement et les technologies d'aujourd'hui sont beaucoup plus complexes que l'environnement traité dans cette publication.
  • SP 800-23 (août 2000), Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products (Lignes directrices à l'intention des organisations fédérales sur l'assurance de la sécurité et l'acquisition/utilisation de produits testés/évalués) :
    • Il est antérieur à de nombreuses lois, réglementations et directives exécutives pertinentes et ne reflète pas les programmes de validation actuels du NIST, le cadre de gestion des risques ou le cadre de cybersécurité. Pour une vue d'ensemble actuelle, voir SP 800-12 Rev. 1, An Introduction to Information Security (Introduction à la sécurité de l'information).
  • SP 800-24 (avril 2001), PBX Vulnerability Analysis : Trouver les failles dans votre PBX avant que quelqu'un d'autre ne le fasse :
    • Elle n'aborde pas les nouvelles technologies, telles que la voix sur IP (VOIP) ; elle fait référence à des "contrôles de sécurité" antérieurs à la norme SP 800-53.
  • SP 800-33 (décembre 2001), Modèles techniques sous-jacents pour la sécurité des technologies de l'information :
    • Décrit un modèle antérieur au cadre de gestion des risques et au cadre de cybersécurité.
  • SP 800-36 (octobre 2003), Guide to Selecting Information Technology Security Products (Guide de sélection des produits de sécurité des technologies de l'information) :
    • Ne reflète pas les types de produits de sécurité actuels et les références sont obsolètes.
  • SP 800-43 (novembre 2002), Conseils d'administration des systèmes pour la sécurisation du système professionnel Windows 2000 :
    • Ce système d'exploitation n'est plus pris en charge.
  • SP 800-65 (janvier 2005), Integrating IT Security into the Capital Planning and Investment Control Process :
    • Il est antérieur à d'importantes directives du NIST telles que SP 800-53 Rev. 4, SP 800-53A Rev. 4 et le cadre de cybersécurité.
  • SP 800-68 Rev. 1 (octobre 2008), Guide de sécurisation des systèmes Microsoft Windows XP pour les professionnels de l'informatique : A NIST Security Configuration Checklist (Liste de contrôle de la configuration de la sécurité du NIST) :
    • Ce système d'exploitation n'est plus pris en charge.
  • SP 800-69 (septembre 2006), Guidance for Securing Microsoft Windows XP Home Edition : Liste de contrôle de la configuration de la sécurité du NIST :
    • Ce système d'exploitation n'est plus pris en charge.

Votre politique de sécurité est-elle à jour ?

La mise à jour du NIST nous rappelle qu'au fur et à mesure que la technologie devient obsolète et est remplacée, les parties de notre politique de sécurité liées aux données et à la technologie doivent l'être également.
Les appareils appartenant à l'entreprise contiennent souvent des informations stockées électroniquement (ESI) sensibles en termes de sécurité, notamment la propriété intellectuelle critique, les bases de données financières, les fichiers comptables, les échanges de courriels, les dossiers des clients, les PCI, les PII et les PHI. Si l'on tient compte des coûts associés à une violation de la sécurité résultant d'un vol ou d'un autre accès non autorisé, tels que les enquêtes, la gestion de crise, la notification des victimes, les frais juridiques et la perte de clients, le prix à payer pour une faille dans le protocole de sécurité d'une entreprise s'alourdit rapidement.
Selon l'Institut Ponemon, le coût moyen d'une violation de données aux États-Unis en 2017 était de $225 par enregistrement, soit une moyenne de $7,35 millions de coût organisationnel total par violation. Ces coûts étaient encore plus élevés pour les établissements de santé et les institutions financières. En outre, plus le nombre d'enregistrements perdus est important, plus le coût de la violation de données est élevé.
La technologie évoluant tous les dix mois ou moins, il est conseillé de revoir régulièrement la politique de sécurité de l'entreprise et de s'assurer qu'elle ne se réfère pas à une technologie dépassée et qu'elle inclut non seulement les nouvelles technologies, mais aussi les nouvelles menaces pour la sécurité.

Comment se préparer et rester préparé

Voici quelques conseils pour assurer la sécurité des données de votre entreprise.

Effectuer une analyse des risques

Également appelée "analyse des lacunes" ou "évaluation des risques de sécurité", l'analyse des risques est la première étape de l'élaboration et de la mise à jour d'une politique de sécurité des données. L'évaluation des risques de sécurité doit être réalisée annuellement, semestriellement ou à chaque fois qu'un changement intervient, comme l'achat d'un nouvel équipement ou l'extension des services de l'entreprise.

Examen de l'accès et de l'autorisation

Dans le cadre d'une analyse des risques, il convient d'examiner un certain nombre de domaines et de méthodes pour s'assurer qu'ils sont correctement sécurisés, y compris les zones physiques. L'accès doit être physiquement inaccessible à toute personne non autorisée.

Mise à jour de la politique de sécurité des données de l'entreprise

Relisez la politique de sécurité des données de votre entreprise et vérifiez qu'elle tient compte de tous les risques identifiés lors de l'analyse des risques. Ajoutez les éléments qui n'y figurent pas et éliminez ceux qui ne sont plus pertinents.

Vérifier le personnel et les prestataires tiers

Vérifier les antécédents de tous les nouveaux employés. Les fournisseurs tiers doivent également être contrôlés afin de s'assurer qu'ils suivent des protocoles de sécurité documentés identiques ou plus robustes que ceux en place au sein de votre entreprise. Il convient d'accorder une attention particulière aux fournisseurs tiers qui ont accès aux ordinateurs et aux téléphones de l'entreprise et qui peuvent accéder aux données de l'entreprise, tels que les fournisseurs chargés de la récupération des données.
Le rapport d'avril 2018 sur la cybersécurité de DriveSavers met en évidence le risque négligé de la récupération de données par des tiers et comprend une liste de contrôle de la sécurité. La liste de contrôle est spécifique aux services de récupération de données ; cependant, de nombreux éléments énumérés peuvent s'appliquer à tous les fournisseurs tiers et constituent une excellente ressource lors de l'examen des entreprises avec lesquelles vous pourriez commencer à travailler.

Éduquer et faire appliquer

Organiser des programmes obligatoires de formation et de sensibilisation à la sécurité, en veillant à faire signer les documents à lire obligatoirement. Faire appliquer les politiques et les procédures de sécurité par le biais de sanctions. La formation doit toujours faire partie de la mise en œuvre et de l'application. Il s'agit de la partie la plus importante de la sécurité de votre entreprise et elle doit être proposée en permanence.

Qu'avez-vous à perdre ?

Votre entreprise détient-elle des brevets, des formules exclusives ou des "recettes secrètes" qui lui confèrent un avantage concurrentiel ? Votre entreprise stocke-t-elle des informations sur les cartes de crédit des clients, des numéros de sécurité sociale ou d'autres données personnelles qui pourraient avoir un impact sur eux en cas de vol ?
Pensez à ce qui pourrait se produire si les données de l'entreprise étaient consultées par la ou les mauvaises personnes. Suivez l'exemple du NIST. Assurez la sécurité de votre organisation et de vos clients en actualisant et en appliquant la politique de sécurité de l'entreprise.

Lectures recommandées

Récupération de données sécurisée et certifiée
Rapport sur la cybersécurité : Le risque négligé de la récupération de données par des tiers
ITProPortal : Conformité de la sécurité des données - Un aide-mémoire pour l'informatique
DriveSavers garantit la conformité de la sécurité des données avec les directives actualisées du NIST pour les informations non classifiées contrôlées.
Le NIST s'attaque à une menace qui menace la plupart des programmes de sécurité de l'information

Articles connexes

L'image montre une femme aux cheveux courts et aux lunettes, mise en valeur dans une découpe circulaire. La toile de fond est de couleur rouge avec un code binaire sur le côté gauche. Identifiée comme "Barbara W., assistante de direction à la retraite", elle fait partie d'un "Coup de projecteur sur un client". L'image comporte également le logo de DriveSavers Data Recovery.
Voir l'article
Sauvetage d'une clé USB corrompue
Après avoir rencontré une erreur de données critique lors d'un montage le jour même, Robert, un photographe de mariage de Chicago, s'est tourné vers DriveSavers pour obtenir de l'aide. Ayant déjà fait deux récupérations de données réussies en utilisant DriveSavers dans le passé, il était confiant que nous pourrions l'aider à restaurer des fichiers à partir d'une carte SD formatée.

Haut de page
Rechercher