blog ID-INFO
Comment choisir son
consultant en sécurité sur IBM i ?
Malgré tous les avantages que peut avoir un AS/400 en matière de sécurité, les attaques actuelles obligent leurs détenteurs à mettre en place les meilleures pratiques pour leur organisation : il en va de leur capacité à assurer une production en continu mais aussi des différents risques juridiques liés à la perte éventuelle de données.
Bob Losey nous explique le point de vue de Bruce Bading, expert en sécurité IBM i.
Traduction de l’article de Bob Losay avec son aimable autorisation. Jan. 2023
La cybersécurité d’IBM i est l’une des plus grandes priorités des utilisateurs d’IBM avec lesquels j’échange. J’ai la chance d’avoir travaillé avec Bruce Bading, un véritable expert en sécurité IBM i. Avec sa permission, ceci est une réimpression modifiée d’une autre publication que je souhaite partager.
Les options sont nombreuses en matière de consultants en cybersécurité ou de fournisseurs de services de sécurité gérés. Une façon d’évaluer vos choix est de demander quelles sont les best practices de sécurité préconisées par le consultant (ou sa société) pour mettre en place des cyberdéfenses. Certaines best practices sont motivées par des équipes organisationnelles massives ou par les résultats de l’entreprise. Il existe toutefois un autre moyen d’élaborer des directives de sécurité en exploitant les contrôles et les critères de référence du CIS par le biais d’une adhésion à CIS SecureSuite.
Les CIS Controls et CIS Benchmarks sont des best practices en matière de sécurité qui ouvrent la voie à l’amélioration des défenses grâce à un processus unique de consensus communautaire. En collaborant avec de nombreux professionnels de la sécurité dans le monde, le CIS élabore des conseils de sécurité globaux (les contrôles CIS) et des configurations de renforcement spécifiques pour les technologies (les repères CIS).
Voyons comment Bruce Bading, président de BFB Consulting, utilise son adhésion à CIS SecureSuite pour renforcer la cybersécurité de ses clients. BFB Consulting fournit des services de cyberdéfense pour aider les organisations à améliorer leurs cyberpolitiques, leurs exigences de conformité et leurs procédures.
Mise en œuvre de la sécurité fondamentale
Avec plus de 40 ans d’expérience en cybersécurité et en conformité réglementaire, M. Bading a vu la croissance et le développement de différentes meilleures pratiques. De son passage en tant que directeur financier d’une grande entreprise industrielle à ses années d’expérience chez IBM en tant que consultant principal en cybersécurité, il a appris à tirer parti des ressources de CIS SecureSuite. Il fait confiance aux CIS Controls, CIS RAM (méthode d’évaluation des risques) et CIS Benchmarks pour aider les clients à opérationnaliser la sécurité fondamentale. M. Bading utilise CIS-CAT Pro, un outil d’évaluation des configurations, pour montrer à ses clients les lacunes dans la sécurité de leurs configurations : « CIS-CAT Pro est une base vraiment solide grâce à laquelle vous pouvez vous adresser à n’importe quel client et lui montrer. Regardez, voici ce que le Center for Internet Security nous dit qu’il faut faire pour verrouiller vos systèmes. Vous pouvez lire ce que Tony Sager dit – arrêtez de courir après tout ce qui brille et revenez à l’essentiel« .
Bading a vu de ses propres yeux comment certains clients tombent dans le « syndrome de ce qui brille » et courent après des prétentions de grandeur technique tout en ignorant les meilleures pratiques de base. « Nous devons revenir à la sécurité fondamentale« , insiste-t-il. Une partie de cette sécurité fondamentale comprend la mise en œuvre des meilleures pratiques telles que les repères du CIS et l’évaluation de la conformité et du respect des règles. Les clients doivent demander si les consultants sont membres de CIS SecureSuite. Si c’est le cas, ils peuvent demander à voir leurs propres résultats CIS-CAT Pro pour identifier les lacunes en matière de sécurité de la configuration. L’expertise du consultant peut alors aider à combler ces lacunes et à répondre à toute préoccupation restante en matière de cybersécurité.
Sécurité en environnement hybride
Les clients de M. Bading opèrent dans des environnements hybrides, c’est-à-dire à la fois sur des infrastructures on premise et dans le cloud. L’important, nous dit M. Bading, est d’identifier la criticité et la confidentialité de chaque élément de données. Il recommande que les informations privées telles que les informations d’identification personnelle (PII) ou d’autres données confidentielles soient stockées dans un cloud privé. Pour les données publiques, un cloud public est suffisant. Ensuite, il est essentiel que les organisations durcissent les environnements cloud, quel que soit l’endroit où ils sont hébergés. CIS fournit les meilleures pratiques de sécurité pour configurer en toute sécurité les comptes et services de cloud sur trois des principaux fournisseurs :
- CIS AWS Foundations Benchmark
- CIS Azure Foundations Benchmark
- CIS Google Cloud Platform Foundations Benchmark
Quel que soit l’environnement dans lequel vous opérez – on premise ou cloud, public ou privé – les configurations sécurisées sont essentielles. « Et c’est ce que nous devons communiquer aux gens« , explique M. Bading. « Il faut durcir ces images« .
Collaborer et se connecter à la communauté
Bading a participé au processus de consensus de la communauté CIS pour aider à développer le premier IBM i Benchmark CIS. Il apprécie d’être connecté à une communauté de cybersécurité plus large et a déclaré : « Mon prochain objectif est d’entrer dans certaines des autres communautés. » Les communautés CIS permettent d’établir un réseau avec d’autres experts techniques, de résoudre des problèmes de sécurité et de trouver un consensus sur les meilleures pratiques en matière de cybercriminalité. « Les professionnels ont participé à ce débat« , explique M. Bading, « par l’intermédiaire d’une communauté, ils ont fait le tour de la question. Et voici ce qu’ils ont dit collectivement. Il ne s’agit pas d’une seule personne, ni d’une seule entreprise – c’est un grand groupe d’individus qui transmettent tous le même message. »
Une sécurité sérieuse pour des menaces sérieuses
« Les cybercriminels sont sérieux« , prévient M. Bading, « et ils n’ont pas peur de casser les choses« . La détermination des cybercriminels démontre que les clients doivent être tout aussi sérieux dans la mise en œuvre des meilleures pratiques et de la conformité. La cybersécurité est une question commerciale, pas seulement une question informatique. Pour BFB Consulting et ses clients, CIS SecureSuite Membership fournit les ressources dont ils ont besoin pour mettre en œuvre les meilleures pratiques de sécurité. « Les pare-feu et les antivirus ne suffisent plus à l’ère de l’IA malveillante, des logiciels malveillants sans fichier et métamorphiques« , explique M. Bading. « Nous devons constamment améliorer notre jeu en matière de sécurité et de contrôles internes. » En combinant les puissants CIS Benchmarks et CIS Controls, CIS SecureSuite Membership aide les organisations à maintenir les systèmes configurés en toute sécurité. C’est une ressource essentielle pour développer une véritable sécurité de base dans toute l’entreprise.
Pour en savoir plus : www.Source-Data.com.
Article initial en anglais : https://www.linkedin.com/pulse/how-choose-ibm-i-iseriesas400-cybersecurity-consultant-bob-losey/
Autres articles qui pourraient vous plaire
Terres du Sud exploite son environnement IBMi au maximum grâce à Armonie-Notos
cas client Terres du Sud exploite son environnement IBMi au maximum grâce à Armonie-Notos A propos de Terres du Sud Le groupe Terres du Sud est la première coopérative de Lot-et-Garonne. Acteur majeur de l’agriculture et de l’alimentation du Sud-Ouest, elle est...
IBM i : la sécurité reste la principale préoccupation (Etude Fortra 2023)
Étude Fortra 2023 IBM i : la sécurité reste la principale préoccupation Le 1er février 2023, Alex Woodie journaliste au The Four Hundred nous expliquait comment la sécurité restait la préoccupation numéro un des revendeurs IBM i. Dans sa neuvième enquête annuelle),...
Sécurité sur IBM i : 10 risques majeurs et comment les éviter
blog ID-INFO Sécurité sur IBM i : 10 risques majeurs et comment les éviter Les menaces en matière de sécurité sont croissantes. Qu’il s’agisse de cyberattaques ou de virus, l’usurpation d’identité est de plus en plus fréquente.Sans compter que certaines failles...
Utilisateurs historiques IBM i : résumé de 2022
blog ID-INFO Utilisateurs historiques IBM i : ce qu’il faut savoir en 2022 Passage au cloud pour limiter les coûts, problèmes de sécurité, de pièces détachées, augmentation du coût du support IBM : garder son AS/400 parfois, ça se mérite ! Quelques pistes de réflexion...
IBM i : quatre grandes tendances qui affectent le marché
blog ID-INFO IBM i : quatre grandes tendances qui affectent le marché Tout le monde vit une époque intéressante. En effet personne ne pouvait imaginer un confinement mondial, ni vivre une pandémie aussi répandue avec de telles restrictions pour empêcher la propagation...
L’étrange histoire de l’IBM i
blog ID-INFO L'étrange histoire de l'IBM i Les développements sur IBM i sont aujourd'hui presque aussi célèbres que le roman de Fitzgerald où Benjamin Button, le protagoniste qui est né vieux, rajeunit au fil du temps. L'IBM i au lieu de « vieillir », de devenir un...
Les 6 fonctionnalités de l’IBM i qui lui donnent une longueur d’avance
blog ID-INFO Les 6 fonctionnalités de l'IBM i qui lui donnent une longueur d'avance Voici les principales caractéristiques d'IBM i en réponse aux critiques qui affirment que l'IBM i est « vieux ». Il n'est pas « vieux », il est toujours en avance. La semaine dernière,...
Est-ce que votre IBM i a un avenir ? Evidemement !
blog ID-INFO Est-ce que votre IBM i a un avenir ? Evidemement ! En tant que partenaire commercial IBM et fournisseur d'hébergement cloud, je parle quotidiennement aux utilisateurs d'IBM i. De nombreux « experts » affirment que l'IBM i est une technologie ancienne et...
Votre IBM i présente des failles de sécurité que vous ignorez. Et elles peuvent être réparées
blog ID-INFO Votre IBM i présente des failles de sécurité que vous ignorez. Et elles peuvent être réparées. L'IBM i a acquis une réputation de fiabilité basée sur des décennies de performance et de disponibilité pour de bonnes raisons. Malgré cela, au fur et à mesure...
Combien de temps faut-il pour quitter l’IBM i ?
blog ID-INFO Combien de temps faut-il pour quitter l'IBM i ? La semaine dernière je parlais avec un expert IBM qui expliquait que 5 années auparavant, la nouvelle direction s’est plaint que leur système IBM i était vraiment vieux. Pourquoi ? Car il était basé sur des...