Cybersécurité : la CISA crée une liste des mauvaises pratiques à éviter

La Cybersecurity and Infrastructure Security Agency (CISA) a publié une liste de mauvaises pratiques à éviter pour aider les fournisseurs d’infrastructures critiques à hiérarchiser les solutions possibles en matière de cybersécurité. 

Aborder les mauvaises pratiques pour savoir que faire

Selon Eric Goldstein, directeur adjoint exécutif de CISA, il ne manque certainement pas de normes, de pratiques, de catalogues de contrôle et de lignes directrices disponibles pour améliorer la cybersécurité d’une organisation. Bien que cet ensemble de conseils soit inestimable, l’étendue des recommandations peut souvent être intimidante pour les dirigeants et les gestionnaires de risques. 

Les organisations disposent de ressources limitées pour identifier et atténuer tous les risques. Aborder les mauvaises pratiques ne remplace pas la mise en œuvre des meilleures pratiques, mais cela fournit une rubrique pour la hiérarchisation des problèmes et trouver une réponse utile à la question de « que faire en premier ». Cela devrait être un élément essentiel de l’approche stratégique de chaque organisation en matière de sécurité. 

Une liste régulièrement mise à jour

télétravail hackers cybersécurité

CISA a créé une page Web pour cataloguer ces mauvaises pratiques en matière de cybersécurité. Toujours selon Goldstein, l’agence continuerait à la mettre à jour en fonction des commentaires des gestionnaires de risques et des professionnels de la cybersécurité. Les réactions par rapport à cette base d’information sont mitigées. Sean Frazier par exemple, responsable fédéral de la sécurité de la société de gestion des identités et des accès Okta, a déclaré qu’il serait plus utile de s’adresser directement aux équipes de sécurité avec plus d’informations.

Selon Frazier, il est facile de dire de ne pas utiliser les mêmes mots de passe ou d’utiliser des mots de passe forts. Mais cela fait peser toute la responsabilité sur les utilisateurs, et aucune sur les équipes de sécurité. Les utilisateurs doivent certes faire partie de la solution de sécurité via le choix des mots de passe. Mais les experts doivent surtout leur fournir les meilleures pratiques et les outils (authentification multifacteur, gestionnaires de mots de passe, formation sur le phishing, solution anti-hameçonnage, …) pour se protéger. Cette liste pourrait armer les RSSI pour avoir une discussion utile sur les changements à apporter dans leur organisation. 

Pin It on Pinterest