Trustlinks free webinar: Turning regulation into resilience – Register now

Restez au courant des dernières tendances et des meilleures pratiquesLe blog Trustlinks

Vous n'arrivez plus à corriger les problèmes assez rapidement. Voici pourquoi les contrôles compensatoires deviennent essentiels.

Vous n'arrivez plus à appliquer les correctifs assez rapidement. Pourquoi les contrôles compensatoires deviennent essentiels.

Depuis des années, la cybersécurité repose sur un principe simple : identifier les vulnérabilités et y remédier. Mais ce modèle repose sur une hypothèse qui n’est plus garantie. Il repose sur le temps.

Dans un environnement de menaces piloté par l’AI, les vulnérabilités sont découvertes et exploitées plus rapidement que la plupart des organisations ne parviennent à les corriger. Selon une étude citée par The Hacker News, l’année 2024 a connu une hausse de 61 % du nombre de vulnérabilités exploitées pour lesquelles un correctif était disponible depuis plus de 30 jours, le nombre de vulnérabilités exploitées ayant presque doublé par rapport à l’année précédente. Les organisations ne sont pas seulement confrontées à un nombre accru de vulnérabilités. Un nombre croissant d’entre elles sont utilisées à des fins malveillantes avant même que le correctif ne soit disponible.

C’est pourquoi les contrôles compensatoires ne constituent plus un concept de niche. Ils deviennent un élément fondamental de la manière dont les organisations assurent leur sécurité.

Les limites des correctifs

Les environnements informatiques modernes n’ont pas été conçus pour la rapidité. Ils comportent des systèmes hérités, des intégrations tierces et des mises à jour continues qui font de l’application des correctifs un processus complexe et chronophage, même dans des conditions idéales. Il faut d’abord identifier un problème, tester une solution, puis déployer les modifications avec précaution afin de ne pas perturber les opérations. Dans les environnements de grande envergure ou complexes, cela peut prendre plusieurs semaines.

C’est précisément pour cette raison que le cadre de cybersécurité du NIST met depuis longtemps l’accent sur la gestion des risques par couches, en reconnaissant qu’aucune mesure de contrôle prise isolément n’est suffisante et que les organisations doivent mettre en place plusieurs niveaux de protection. Lorsque les attaquants peuvent passer de la découverte d’une vulnérabilité à son exploitation active en quelques heures, un processus de correction qui s’étale sur plusieurs semaines n’est tout simplement pas suffisant à lui seul.

En quoi consistent exactement les contrôles compensatoires ?

Les mesures de compensation sont des dispositifs de protection qui réduisent les risques lorsqu’il n’est pas possible d’appliquer immédiatement un correctif. Elles ne remplacent pas l’application de correctifs. Elles permettent de gagner du temps et de limiter l’exposition aux risques pendant la préparation du correctif. Concrètement, cela peut se traduire par une restriction de l’accès aux services vulnérables, une segmentation des réseaux afin de circonscrire les dommages potentiels, un renforcement de la surveillance et des alertes autour des systèmes à risque, ou encore la mise en place de modifications temporaires des processus visant à réduire la probabilité d’exploitation. L’objectif est de maintenir un niveau de protection significatif même lorsque le système n’est pas encore entièrement corrigé.

En quoi cela est-il important pour la conformité ?

Les cadres réglementaires tels que NIS2 et DORA n’exigent pas la perfection. Ils exigent une gestion des risques structurée et proportionnée. Tous deux imposent aux organisations de mettre en œuvre des contrôles appropriés, d’assurer la continuité des opérations et de maintenir la sécurité même lorsque les conditions évoluent. Cela inclut explicitement des contrôles à plusieurs niveaux, et ne se limite pas au simple recours aux correctifs. Une organisation capable de démontrer qu’elle a identifié une vulnérabilité, évalué le risque, déployé des contrôles compensatoires et suivi les progrès vers une correction complète illustre précisément le type de gouvernance que ces cadres visent à encourager.

Le défi opérationnel

Pour de nombreuses organisations, le problème ne réside pas dans un manque de sensibilisation, mais dans un manque de structure. Sans une vision claire des domaines où des contrôles sont nécessaires, sans processus définis permettant de les mettre en œuvre rapidement et sans documentation adéquate de ce qui a été mis en place, les contrôles compensatoires restent une réponse ponctuelle plutôt qu’une capacité gérée. C’est dans cet écart entre l’intention et l’exécution que réside le risque réglementaire.

De l’approche ponctuelle à la gouvernance

Pour que les contrôles compensatoires s’inscrivent dans une stratégie de sécurité plus large, il est nécessaire d’établir une correspondance claire entre les risques et les contrôles, de définir des procédures précisant quand et comment ces contrôles sont activés, d’assurer un suivi et une révision continus, et de disposer d’une documentation pouvant être fournie en cas de besoin. Cela permet de transformer une mesure réactive en une gouvernance structurée, qui peut être démontrée tant aux autorités de régulation qu’aux auditeurs et à la direction.

Si votre organisation a du mal à garder une vue d’ensemble des risques, des contrôles et de la documentation, Trustlinks a été conçu pour vous aider. Avec Trustlinks, vous pouvez enregistrer et suivre les risques dans un registre centralisé, relier directement les incidents aux risques qu’ils mettent en évidence, et cartographier chaque risque sur plusieurs cadres à la fois. Lorsqu’un contrôle compensatoire est mis en place, il est documenté, associé et vérifiable. Une seule plateforme, une visibilité totale, toujours prête pour un audit.

Looking for a secure and user-friendly compliance solution?Share your details, and we’ll contact you to discuss how Trustlinks can help.

Parlez avec la Territory Manager
Camilla Corsini

Blog TrustlinksÀ lire ensuite...

De quelques semaines à quelques heures : pourquoi l'accélération des cybermenaces exige une mise en conformité structurée avec la norme DORA
Les établissements financiers s'inquiètent des attaques basées sur l'AI : voici ce que DORA attend de vous
Pourquoi les attaques visant la chaîne d'approvisionnement sont à l'origine de nouvelles réglementations en matière de cybersécurité

Réservez une démo

Envoyez-nous un message et notre équipe vous répondra dans les plus brefs délais.

Réservez une démo

Envoyez-nous un message et notre équipe vous répondra dans les plus brefs délais.
Logo Trustlinks blanc.

Contactez notre service commercial

Vous avez des questions sur les tarifs, les cadres ou la manière dont Trustlinks peut s’adapter à votre organisation ? Notre équipe est là pour vous aider à trouver la solution qui vous convient.

→ Ou consultez notre foire aux questions

Obtenir assistance produit

Vous avez besoin d’aide pour utiliser la plateforme ou vous rencontrez un problème ? Notre équipe d’assistance est prête à vous aider.

Contactez nous