En gardant vos communications sécurisées est l’un des défis les plus difficiles. Qu’il s’agisse de parler de secrets d’affaires, de communiquer avec votre avocat ou d’échanger des informations privées, il est impératif de bien conserver les informations confidentielles, confidentiel.
Qu’est-ce qu’OPSEC ?
OPSEC signifie sécurité des opérations. Il s’agit d’un ensemble de pratiques utilisées par l’armée américaine pour empêcher que les détails de leurs opérations ne soient compromis. Ces pratiques ont été adoptées par le secteur privé pour identifier les vulnérabilités dans leur traitement des données.
Lors de l’exécution de l’OPSEC, les responsables de la sécurité examinent toutes les opérations commerciales du point de vue de l’attaquant. Ils recherchent tout, du comportement des employés à la surveillance des médias sociaux, en comprenant comment les pirates potentiels pourraient exploiter les vulnérabilités des processus, des opérations, des logiciels et du matériel de leur organisation.
Pourquoi l’OPSEC est-il si important?
L’objectif d’OPSEC est d’apprendre aux responsables informatiques à penser du point de vue de l’attaquant. Cela leur permet d’identifier de manière proactive les faiblesses et de réduire le risque de menaces internes, de cyberattaques, d’espionnage et d’autres menaces potentielles pour leurs opérations. Ne pas exécuter suffisamment d’OPSEC coûte cher: selon la sécurité d’IBM, une violation de données moyenne coûte 4,2millions de dollars.
Au niveau individuel, OPSEC fait de vous une cible plus difficile pour la cybercriminalité comme la fraude ou le vol d’identité. Lorsque vous vous inscrivez à des services, installez des applications, laissez des commentaires sur les réseaux sociaux et naviguez sur Internet, vous laissez des données personnelles que les attaquants pourraient regrouper dans un profil complet. OPSEC peut vous aider à résoudre ces problèmes et à protéger vos données.
Quelles sont les cinq étapes de l’OPSEC?
Le processus d’OPSEC, tel que décrit par l’armée américaine, comprend cinq étapes.
1. Identification des informations critiques
Quelles données personnelles souhaitez-vous garder confidentielles? La première chose qui vient à l’esprit est votre information critique. Dans le cadre d’une conversation numérique, c’est principalement le contenu et les métadonnées qui vous exposeront. Le contenu est la conversation elle-même, tandis que les métadonnées décrivent les informations relatives à ces informations. Métadonnées comprend à qui vous parlez, quand, la durée et la fréquence des conversations.
Il est facile de masquer le contenu d’un message, mais masquer les métadonnées reste difficile. Des applications comme Signal promettez de ne conserver aucune métadonnée, mais pour être sûr, vous devrez peut-être exécuter votre propre serveur OTR (pas un exploit trivial et encombré de risques uniques qui lui sont propres).
2. Analyse des menaces
De qui voudriez-vous garder vos données personnelles à l’écart? Si vous ne faites que cacher des informations à votre harceleur ou à votre voisin, vos risques et vulnérabilités sont très différents de ceux que vous affrontez contre un État-nation puissant. À partir de là, vous pouvez développer un profil de chaque menace. Vous pouvez penser aux ressources dont ils disposent et comprendre ce qu’ils recherchent. Cela vous donnera suffisamment d’informations pour examiner la question suivante.
3. Analyse des vulnérabilités
Où peuvent-ils frapper ? La troisième étape est la partie la plus difficile de la sensibilisation à l’OPSEC, car vos vulnérabilités sont potentiellement infinies. Tu dois pouvoir faire confiance à votre appareil, le système d’exploitation, les applications et tous les programmes que vous avez installés. Les portes dérobées pourraient permettre aux agences de renseignement d’accéder à vos données, et une programmation bâclée pourrait divulguer des informations à votre insu.
Des vulnérabilités existent également le long de la chaîne de communication ou avec quelqu’un à qui vous parlez. C’est difficile à évaluer car vous ne savez peut-être pas quels systèmes fonctionnent entre vous et eux.
Votre partenaire de chat n’a peut-être pas les mêmes incitations à garder les informations privées. Peut-être sont-ils dans un pays où les autorités sont moins répressives. Ou peut-être qu’ils ne se soucient tout simplement pas autant de la vie privée que vous.
Il est essentiel d’inclure l’OPSEC des personnes avec lesquelles vous communiquez dans votre modèle OPSEC, même si c’est difficile et qu’il y a de l’incertitude. Il existe de nombreuses façons d’atténuer les vulnérabilités, vous pourriez, par exemple, vous éloigner de votre partenaire de chat en ne révélant que les informations strictement nécessaires sur vous-même.
Malheureusement, les faiblesses les plus difficiles et les plus gênantes se situent souvent en dehors de ce qui est possible grâce à la technologie. Attaquants pourrait utiliser l’ingénierie sociale pour imiter une personne de confiance ou un représentant du gouvernement. Ils pourraient également recourir à des moyens physiques tels que l’échange de votre carte SIM, l’écrémage des cartes de guichet automatique et l’offre de points d’accès Wi-Fi compromis.
4. Évaluation des risques
Quelles vulnérabilités sont les plus susceptibles de se produire? Votre liste de vulnérabilités risque d’être très longue. Mais toutes les menaces ne sont pas également pertinentes. Certains pourraient ne pas être pertinents du tout.
Dans cette étape, combinez l’étape 2 avec l’étape 3 pour déterminer les menaces et évaluer comment elles pourraient exploiter vos vulnérabilités.
Une menace peut inclure un pirate sophistiqué ou quelqu’un partageant votre maison. Chacun doit être traité différemment. Par exemple, Un mot de passe écrit sur un morceau de papier a un faible risque d’être découvert par un pirate informatique, mais il y a un risque élevé qu’un colocataire fouineur puisse le trouver.
Rayez les menaces inutiles de votre liste, puis marquez les autres comme présentant un risque élevé, moyen ou faible.
5. Application des mesures OPSEC appropriées
Dans la dernière étape, planifiez vos actions. Traitez d’abord les menaces les plus élevées, puis travaillez vers les risques les plus faibles. Certains seront inévitables, mais ils peuvent être minimisés. Nous avons inclus une liste d’exemples pour vous aider à démarrer.
Exemples d’OPSEC
Pour certains, OPSEC peut sembler un concept farfelu réservé uniquement aux militaires ou aux experts en cybersécurité. Cependant, OPSEC peut s’appliquer à notre quotidien, voici quelques exemples :
Cryptage et sauvegarde des fichiers importants
Avec l’apparition de rançongiciel, il est important de chiffrer et de sauvegarder les fichiers que vous ne pouvez pas vous permettre de perdre. Il y a options de cryptage intégrées pour Windows et Mac, ainsi qu’une large sélection de logiciels de cryptage de dossiers en ligne. Bien que le cryptage protège vos fichiers contre les pirates, vous aurez également besoin de sauvegardes pour les protéger contre des événements malheureux tels que la chute de votre ordinateur portable ou une surtension. Les options de sauvegarde incluent des options de stockage de fichiers physiques et basées sur le cloud. Alors que le stockage physique est moins vulnérable aux pirates, le stockage en nuage est plus pratique.
Cryptage du trafic réseau
Lorsque vous naviguez sur Internet et utilisez des services en ligne, vos métadonnées révèlent une grande quantité d’informations y compris votre historique de navigation avec les horodatages, l’historique des téléchargements et les services de streaming que vous utilisez. Si vous utilisez un réseau Wi-Fi public, il est également possible que votre trafic réseau soit intercepté et détourné vers fausses applications. Utilisant un VPN crypte votre trafic, cachant vos métadonnées à des tiers. Vous pouvez également l’utiliser pour masquer votre emplacement physique, ce qui vous rend d’autant plus sûr.
Limitation des informations ou de l’accès au compte
La plupart des applications commencent par demander l’accès à vos contacts, à votre galerie ou à votre emplacement. Limiter l’accès à ces informations réduira votre exposition au cas où le fournisseur de l’application subirait une violation de données. Il est également recommandé de limiter l’accès aux documents partagés uniquement aux personnes qui ont besoin de cet accès, plutôt que de le partager avec toute personne disposant du lien ou toute personne au sein de l’organisation.
Déchiquetage de documents confidentiels
Pour beaucoup d’entre nous, il est naturel de jeter le courrier une fois que vous avez fini de le lire. Cependant, il contient de nombreuses informations confidentielles, notamment votre nom complet, l’historique des transactions, les factures, les informations fiscales, etc. Il suffit que quelqu’un fouille dans vos poubelles pour obtenir ces informations. C’est pourquoi il est important de passer tout votre courrier et autres documents confidentiels dans la déchiqueteuse avant de sortir la poubelle ou de recycler.
Sécurité sur les ordinateurs portables et les appareils
Mettre un mot de passe sur votre ordinateur portable et vos appareils mobiles pourrait vous éviter bien des ennuis. S’ils se perdent, vous perdez simplement l’appareil lui-même plutôt que les données qu’il contient. Les appareils mobiles disposent souvent d’un service de recherche de téléphone qui vous permet également d’effacer le téléphone à distance en cas de perte. Les ordinateurs portables et autres appareils électroniques fournis par l’entreprise sont généralement livrés avec une sorte de logiciel de surveillance qui fournit le cryptage des données et empêche les logiciels malveillants.
Bonnes pratiques de sécurité des opérations
La planification d’une stratégie OPSEC dépend entièrement des capacités et des besoins d’une entreprise. Bien que les plans OPSEC soient toujours uniques à l’entreprise, il existe certaines meilleures pratiques auxquelles les entreprises pourraient se référer pour commencer.
Mettre en œuvre les bons plans de conduite du changement
Les organisations sont les plus vulnérables lorsqu’elles subissent un changement. La gestion du changement fait référence à l’identification et à la prévention des vulnérabilités lors d’un changement. Le changement pourrait concerner n’importe quoi, des ordinateurs et de l’infrastructure réseau aux fournisseurs de services cloud. La gestion du changement peut également faire référence à la gestion du risque que les utilisateurs apportent lorsqu’ils apportent des modifications ad hoc aux systèmes et processus de l’entreprise.
Restreindre l’accès aux appareils et implémenter l’accès le moins privilégié
De nombreuses entreprises fonctionnent sur la base du besoin de savoir concernant l’accès et le partage d’informations. Ainsi, les employés et les sous-traitants n’ont accès à des bases de données spécifiques que si leur travail l’exige.
En réduisant l’accès des personnes à différents types d’informations, les entreprises réduisent la probabilité de se faire pirater.
Assurer un double contrôle
De nombreuses entreprises créent une équipe spécifiquement pour leurs réseaux et une autre pour la cybersécurité. Cela garantit un niveau de sécurité plus élevé, car les équipes dédiées n’ont qu’à se concentrer sur la gestion de leurs propres produits. Cela minimise également le nombre d’erreurs humaines qui pourraient se produire.
Mettre en œuvre l’automatisation
Bien que les humains soient généralement fiables, ils peuvent souvent faire des erreurs. Ainsi, de nombreuses entreprises mettent désormais en œuvre l’automatisation pour réduire le risque d’erreurs et d’erreurs humaines. L’automatisation peut être programmée pour surveiller les activités suspectes, les journaux d’activité et fournir des rapports en temps réel.
Élaborer un plan de réponse aux incidents et de reprise après sinistre
Avoir un plan de reprise après sinistre aide les entreprises à se préparer aux incidents de sécurité potentiels, à réduire l’impact des failles de sécurité et à minimiser les temps d’arrêt nécessaires pour se remettre d’un incident. L’élaboration d’un plan de reprise pourrait également aider les entreprises à prévoir les données et les actifs auxquels elles doivent accorder plus d’attention.
Donner aux employés l’accès minimum nécessaire aux périphériques réseau
Semblable à la restriction de l’accès aux appareils et à la mise en œuvre de l’accès le moins privilégié, le fait de ne donner aux employés que l’accès minimum nécessaire pour contrôler les appareils du réseau réduit le risque de failles de sécurité.
FAQ: À propos de l’OPSEC
L’OPSEC est à la fois une fonction de sécurité et d’exploitation. Du point de vue de la sécurité, les responsables OPSEC recherchent des moyens de protéger les données sensibles et mettent en œuvre des procédures pour empêcher que les informations ne tombent entre de mauvaises mains. Du point de vue des opérations, OPSEC examine les moyens de protéger les données dans les opérations quotidiennes.
Pour le dire très simplement, les violations de l’OPSEC font référence à toutes les actions ou comportements qui compromettent la sécurité des informations sensibles liées à l’armée, au renseignement ou à d’autres opérations classifiées. Ceux-ci peuvent inclure :
– Divulgation d’informations classifiées ou sensibles à des personnes non autorisées.
– Partage d’informations via les médias sociaux ou des canaux de communication non sécurisés.
– Défaut de traiter ou d’éliminer correctement les informations sensibles.
– Autoriser l’accès non autorisé aux appareils contenant des informations classifiées.
Non. Bien que le terme OPSEC et ses pratiques dérivent de l’armée, il peut être adapté et appliqué à diverses industries dans le monde. L’OPSEC peut être appliqué à un large éventail d’activités, y compris les opérations gouvernementales et d’entreprise, la sécurité personnelle et la sécurité publique.
La durée de la formation OPSEC dépend de l’agence dispensant la formation et est généralement basée sur les exigences d’une organisation particulière demandant une formation. Généralement, la formation OPSEC est valable un an, mais il est conseillé de suivre une formation de recyclage pour se tenir au courant des derniers développements en matière de cybersécurité.
