Comment choisir son
consultant en sécurité sur IBM i ?

Malgré tous les avantages que peut avoir un AS/400 en matière de sécurité, les attaques actuelles obligent leurs détenteurs à mettre en place les meilleures pratiques pour leur organisation : il en va de leur capacité à assurer une production en continu mais aussi des différents risques juridiques liés à la perte éventuelle de données.

Bob Losey nous explique le point de vue de Bruce Bading, expert en sécurité IBM i.

Traduction de l’article de Bob Losay avec son aimable autorisation. Jan. 2023

La cybersécurité d’IBM i est l’une des plus grandes priorités des utilisateurs d’IBM avec lesquels j’échange. J’ai la chance d’avoir travaillé avec Bruce Bading, un véritable expert en sécurité IBM i. Avec sa permission, ceci est une réimpression modifiée d’une autre publication que je souhaite partager. 

Les options sont nombreuses en matière de consultants en cybersécurité ou de fournisseurs de services de sécurité gérés. Une façon d’évaluer vos choix est de demander quelles sont les best practices de sécurité préconisées par le consultant (ou sa société) pour mettre en place des cyberdéfenses. Certaines best practices sont motivées par des équipes organisationnelles massives ou par les résultats de l’entreprise. Il existe toutefois un autre moyen d’élaborer des directives de sécurité en exploitant les contrôles et les critères de référence du CIS par le biais d’une adhésion à CIS SecureSuite.

Les CIS Controls et CIS Benchmarks sont des best practices en matière de sécurité qui ouvrent la voie à l’amélioration des défenses grâce à un processus unique de consensus communautaire. En collaborant avec de nombreux professionnels de la sécurité dans le monde, le CIS élabore des conseils de sécurité globaux (les contrôles CIS) et des configurations de renforcement spécifiques pour les technologies (les repères CIS).

Voyons comment Bruce Bading, président de BFB Consulting, utilise son adhésion à CIS SecureSuite pour renforcer la cybersécurité de ses clients. BFB Consulting fournit des services de cyberdéfense pour aider les organisations à améliorer leurs cyberpolitiques, leurs exigences de conformité et leurs procédures.

Mise en œuvre de la sécurité fondamentale

Avec plus de 40 ans d’expérience en cybersécurité et en conformité réglementaire, M. Bading a vu la croissance et le développement de différentes meilleures pratiques. De son passage en tant que directeur financier d’une grande entreprise industrielle à ses années d’expérience chez IBM en tant que consultant principal en cybersécurité, il a appris à tirer parti des ressources de CIS SecureSuite. Il fait confiance aux CIS Controls, CIS RAM (méthode d’évaluation des risques) et CIS Benchmarks pour aider les clients à opérationnaliser la sécurité fondamentale. M. Bading utilise CIS-CAT Pro, un outil d’évaluation des configurations, pour montrer à ses clients les lacunes dans la sécurité de leurs configurations : « CIS-CAT Pro est une base vraiment solide grâce à laquelle vous pouvez vous adresser à n’importe quel client et lui montrer. Regardez, voici ce que le Center for Internet Security nous dit qu’il faut faire pour verrouiller vos systèmes. Vous pouvez lire ce que Tony Sager dit – arrêtez de courir après tout ce qui brille et revenez à l’essentiel« .

Bading a vu de ses propres yeux comment certains clients tombent dans le « syndrome de ce qui brille » et courent après des prétentions de grandeur technique tout en ignorant les meilleures pratiques de base. « Nous devons revenir à la sécurité fondamentale« , insiste-t-il. Une partie de cette sécurité fondamentale comprend la mise en œuvre des meilleures pratiques telles que les repères du CIS et l’évaluation de la conformité et du respect des règles. Les clients doivent demander si les consultants sont membres de CIS SecureSuite. Si c’est le cas, ils peuvent demander à voir leurs propres résultats CIS-CAT Pro pour identifier les lacunes en matière de sécurité de la configuration. L’expertise du consultant peut alors aider à combler ces lacunes et à répondre à toute préoccupation restante en matière de cybersécurité.

Sécurité en environnement hybride

Les clients de M. Bading opèrent dans des environnements hybrides, c’est-à-dire à la fois sur des infrastructures on premise et dans le cloud. L’important, nous dit M. Bading, est d’identifier la criticité et la confidentialité de chaque élément de données. Il recommande que les informations privées telles que les informations d’identification personnelle (PII) ou d’autres données confidentielles soient stockées dans un cloud privé. Pour les données publiques, un cloud public est suffisant. Ensuite, il est essentiel que les organisations durcissent les environnements cloud, quel que soit l’endroit où ils sont hébergés. CIS fournit les meilleures pratiques de sécurité pour configurer en toute sécurité les comptes et services de cloud sur trois des principaux fournisseurs :

• CIS AWS Foundations Benchmark
• CIS Azure Foundations Benchmark
• CIS Google Cloud Platform Foundations Benchmark

Quel que soit l’environnement dans lequel vous opérez – on premise ou cloud, public ou privé – les configurations sécurisées sont essentielles. « Et c’est ce que nous devons communiquer aux gens« , explique M. Bading. « Il faut durcir ces images« .

Collaborer et se connecter à la communauté

Bading a participé au processus de consensus de la communauté CIS pour aider à développer le premier IBM i Benchmark CIS. Il apprécie d’être connecté à une communauté de cybersécurité plus large et a déclaré : « Mon prochain objectif est d’entrer dans certaines des autres communautés. » Les communautés CIS permettent d’établir un réseau avec d’autres experts techniques, de résoudre des problèmes de sécurité et de trouver un consensus sur les meilleures pratiques en matière de cybercriminalité. « Les professionnels ont participé à ce débat« , explique M. Bading, « par l’intermédiaire d’une communauté, ils ont fait le tour de la question. Et voici ce qu’ils ont dit collectivement. Il ne s’agit pas d’une seule personne, ni d’une seule entreprise – c’est un grand groupe d’individus qui transmettent tous le même message. »

Une sécurité sérieuse pour des menaces sérieuses

« Les cybercriminels sont sérieux« , prévient M. Bading, « et ils n’ont pas peur de casser les choses« . La détermination des cybercriminels démontre que les clients doivent être tout aussi sérieux dans la mise en œuvre des meilleures pratiques et de la conformité. La cybersécurité est une question commerciale, pas seulement une question informatique. Pour BFB Consulting et ses clients, CIS SecureSuite Membership fournit les ressources dont ils ont besoin pour mettre en œuvre les meilleures pratiques de sécurité. « Les pare-feu et les antivirus ne suffisent plus à l’ère de l’IA malveillante, des logiciels malveillants sans fichier et métamorphiques« , explique M. Bading. « Nous devons constamment améliorer notre jeu en matière de sécurité et de contrôles internes. » En combinant les puissants CIS Benchmarks et CIS Controls, CIS SecureSuite Membership aide les organisations à maintenir les systèmes configurés en toute sécurité. C’est une ressource essentielle pour développer une véritable sécurité de base dans toute l’entreprise.

Pour en savoir plus : www.Source-Data.com.

Article initial en anglais : https://www.linkedin.com/pulse/how-choose-ibm-i-iseriesas400-cybersecurity-consultant-bob-losey/