Les modifications apportées au programme britannique CyberEssentials mettent les entreprises en danger

NCSC CyberEssentials ( CE ) est, en un mot, un programme soutenu par le gouvernement britannique qui vise à sortir les entreprises de leur pauvreté en matière de sécurité.

Ceux qui choisissent de se conformer au régime bénéficient d'une protection contre les cyberattaques les plus courantes . C'est ce que vous pouvez lire sur l'étiquette de la boîte, cependant, à l'intérieur de la boîte, il y a beaucoup plus.

Le programme a deux saveurs : CE et CE+ .

Le CE est une auto-évaluation, réalisée en remplissant un questionnaire en ligne qui est ensuite examiné par l'IASME . Si les réponses sont d'une qualité et d'une clarté suffisantes, l'entreprise obtient le certificat. Si l'entreprise échoue initialement à l'évaluation, elle disposera de quelques jours pour corriger et soumettre à nouveau sans frais supplémentaires.

CE + diffère de CE en incluant également une vérification technique pratique, ou en d'autres termes, les informations soumises sont vérifiées de manière indépendante via un test de pénétration.

Un autre avantage est qu'une entreprise certifiée, domiciliée au Royaume-Uni avec un chiffre d'affaires inférieur à 20 millions de livres sterling, a également droit à une assurance cyber-responsabilité d'une valeur allant jusqu'à 25 000 livres sterling, tandis que les entreprises étrangères peuvent bénéficier de remises d'assurance auprès de courtiers qui reconnaissent la certification.

Si vous considérez le programme comme un obstacle qui, une fois surmonté, garantit également à une entreprise un niveau de confiance plus élevé pour faire des affaires et une meilleure réputation, pour cette année particulière, vous auriez raison.

L'une ou l'autre saveur a un coût d'acquisition négligeable, mais les chefs d'entreprise doivent tenir compte et allouer suffisamment de temps pour permettre la réalisation de l'évaluation, ce n'est pas anodin. Ils doivent également préparer leur main-d'œuvre aux changements culturels et opérationnels, car ceux-ci seront nécessaires pour répondre aux exigences de certification.

Prête ou pas, une fois embarquée dans son aventure d'endoctrinement sécurité, l'entreprise acquerra une appréciation plus profonde du sujet et en sortira avec une posture sécurité améliorée.

Un peu de critique

1- De ceux qui en veulent plus

Certains professionnels de la sécurité souhaiteraient que le schéma évolue pour offrir différentes nuances de gris selon les résultats de l'évaluation, ce qui signifie qu'il devrait offrir une classification plus fine que le seul cachet de "certifié".

J'ai observé cette critique dans les médias sociaux et regroupé ses partisans comme ceux qui se tenaient déjà de l'autre côté de la barrière et souffraient d'une fatigue due à la diligence raisonnable dans leurs évaluations de la sécurité de la chaîne d'approvisionnement. Leur empressement à passer le ballon à l'IASME réduirait potentiellement les coûts de leur entreprise et obtiendrait des réponses uniformes. Je me demande si IASME ira pour elle.

Après réflexion, j'ai également reconnu l'existence très sympathique de ceux qui peuvent désirer se différencier des autres entreprises certifiées. Que ce soit parce qu'ils n'ont pas coupé les coins ronds pour obtenir une certification et qu'ils croient que les autres l'ont fait, ou parce qu'ils sont conscients que des moyens particuliers d'atteindre X fournissent en fait une valeur NULL ou même parce qu'ils peuvent connaître des entreprises déclarant la conformité alors que ce n'est tout simplement pas le cas.

Néanmoins, pour ma part, je ne cautionne pas cette proposition de mutation du régime car je suis d'avis qu'il devrait être maintenu jusqu'à ce que le nombre d'entreprises certifiées soit si élevé que la certification ne serve plus à rien, plutôt que de changer sa pauvreté mission famine mi-marathon.

Mon raisonnement découle du fait que j'ai connu la pauvreté en matière de sécurité et que je suis capable de reconnaître le niveau d'effort requis pour en sortir une entreprise. En tant que tel, même si je comprends que la re-certification chaque année ne sera pas aussi excitante et transformable que la première fois qu'elle est accomplie, je froncerai les sourcils, si après quelques années, cela reste la seule certification de sécurité qu'une entreprise détient…

2- De ceux qui en ont besoin de plus

D'un autre côté, et malgré le succès du programme depuis 2014, il continue de recevoir des plaintes concernant des informations insuffisantes et des demandes de clarification sur une série de sujets. Moi-même, j'avais des questions.

Néanmoins, je trouve ce retour d'information inévitable et attendu étant donné le large public ciblé par le programme, car on ne peut pas faire grand-chose mais espérer atteindre un niveau élevé de résonance même en ne transmettant qu'un message court à un public diversifié.

Pourtant, cette critique importante et récurrente souligne sans équivoque que les pauvres et les égarés demandent de l'aide et veulent faire mieux ! Mais il se demande également si relever la barre n'est pas en effet sous-optimal ou prématuré.

3- De ceux qui ne sont pas d'accord

Il existe également certains professionnels de la sécurité qui contestent certaines des spécificités du système. Ici, attention et pause doivent être mises en place car tout professionnel de la sécurité doit saisir facilement le contenu du défi. Ainsi, lorsque quelqu'un commence à CRITER avec l'intention de maintenir des pratiques qui atteignent le domaine de l'immoralité, d'autres s'interrogeront sur la véritable raison derrière cela, même si invariablement, cela aura la même cause profonde : les coûts financiers, plutôt que l'absence de connaissance des risques.

Je crois que cela se produit uniquement en raison du poids du coût identifié qui n'a pas été marié aux compromis atteints. Néanmoins, je reconnais qu'ici, les batailles doivent être menées une par une dans le but d'éduquer afin de permettre un état d'illumination partagé qui sera un processus lent et mieux servi avec une modélisation des menaces sur mesure, l'identification et la quantification des risques avant tout traitement (acceptation, transfert, atténuation, évitement).

Bien que jusqu'à présent, je n'aie pas approuvé les défis posés, étant limité par ma sphère d'influence et de visibilité, je reconnais également une opportunité pour le programme d'offrir plus de valeur et d'aider ceux qui souhaitent certifier en énumérant quelles lois peuvent être violées si Y et Z ne sont pas en place. Bien que ceux-ci puissent être spécifiques au Royaume-Uni, la perspicacité peut s'avérer bénéfique et réduire la résistance.

Changements à venir qui pourraient nuire à votre entreprise

Je remets en question deux des changements proposés , car tous les autres semblent être des améliorations pour le moment, mais j'aime rester libre de revenir.

1- Le système n'exigera plus que les modèles d'appareils des utilisateurs soient déclarés.

Je peux imaginer que l'IASME reçoive des plaintes d'entreprises disposant d'un grand nombre d'actifs concernant la lenteur et la difficulté du processus. J'y suis allé, mais quiconque fait cette plainte soulève des questions immédiates sur la façon dont l'entreprise surveille, contrôle et remplace lesdits actifs et fait partie de la bonne chose à faire pour améliorer la sécurité de l'entreprise. En tant que tel, je n'accepterais pas cela comme la raison du changement.

Je suis enclin à croire que ce changement est de favoriser les entreprises d'évaluation IASME et éventuellement CE +, qui peuvent chercher à réduire leur niveau de travail et donc disposées à abaisser la barre permettant une soumission plus flexible. Cela semble plus proche de la réalité dans le sens où le temps investi par ceux-ci, selon la taille de l'organisation évaluée, peut entraîner des coûts non couverts.

Pour moi cependant, parce que différents modèles ont peut-être très bien des cycles de vie de support différents et peuvent avoir différents systèmes d'exploitation et micrologiciels associés, il s'agit donc d'un changement négatif.

Un exemple sera de signaler : "nous n'utilisons que des Mac" lorsque des modèles particuliers ne sont déjà pas en mesure de prendre en charge différentes exigences de sécurité. Cela obscurcit les informations soumises.

2- Le schéma ne nécessitera que des rapports sur le firmware du routeur et du pare-feu

Celui-ci me laisse perplexe. Les entreprises ont des répéteurs wifi et ceux-ci ont un firmware, ils ont des serveurs qui ont un firmware et tous les autres appareils… tous avec un firmware.

Ici, je pointerais du doigt les fournisseurs de virtualisation et de cloud qui ne partagent pas ces informations. Et si je suis proche, alors je demanderais à l'IASME s'il ne serait pas plus logique d'avoir des exigences distinctes pour les actifs corporels et incorporels.

Ne pas savoir quel micrologiciel est utilisé dans un appareil nuit à la prise de décision concernant le niveau de sécurité requis par l'actif. C'est donc un autre changement négatif menant à moins de sécurité.

Moins de contrôle n'est pas mieux, moins c'est pire. Dans ces deux cas au moins.

Abaisser la valeur de la certification n'est tout simplement pas juste.

Merci d'avoir lu. Que pensez-vous de ces changements ? Faites-nous savoir dans les commentaires ci-dessous!