MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Bien qu’il soit tentant de blâmer les responsables de la sécurité pour ne pas avoir maintenu leurs procédures à jour ni identifié les failles dans la cuirasse, il est important de garder à l’esprit que ce ne sont pas nécessairement les vulnérabilités qu’exploitent les ‘hackers’, mais plutôt la complexité des systèmes de sécurité en place, qu’il est de plus en plus difficile de maîtriser.
De nos jours, les opérations de sécurité nécessitent de multiples outils et processus et une expertise spécifique. Les solutions sont souvent fragmentées, désordonnées et remplies de doublons et il y a une raison à cela : les organisations réagissent au coup par coup plutôt qu’adopter une approche globale des défis de sécurité. Résultat : elles se retrouvent avec une myriade d’outils qui ne communiquent pas entre eux et génèrent une masse d’informations difficiles à exploiter en temps voulu.
Dans ce contexte, la solution la plus efficace semble être la mise en place d’une plate-forme unique, fournissant aux responsables une vision globale de l’ensemble des solutions de sécurité en place.
Agissant comme la tour de contrôle d’un centre opérationnel de sécurité (SOC), cette plate-forme doit être conçue pour intégrer et automatiser les opérations de sécurité, permettant aux équipes techniques de stopper plus rapidement les menaces tout en optimisant les coûts. Sur le papier, de telles plates-formes semblent déjà exister sur le marché. Certaines solutions SIEM par exemple, tentent de se positionner comme des consoles de management des opérations de sécurité, tout en offrant des avantages tactiques encore limités. Elles agrègent les alertes mais sans analyse contextuelle ni automatisation, ce qui crée de nouveaux problèmes pour les analystes au sein des SOCs.
Quelles doivent donc être les fonctions offertes par cette plate-forme unifiée ?
Celles-ci doivent répondre à trois objectifs fondamentaux : Améliorer la visibilité sur les failles de sécurité ; Accélérer les délais de réponse aux attaques ; Optimiser les coûts.
Une organisation doit être capable de détecter, d’alerter et d’évaluer l’impact des attaques. Elle doit donc avoir une parfaite visibilité sur les menaces auxquelles elle doit faire face et être capable de comprendre lesquelles présentent le plus de risque. Une sécurité efficace exige une visibilité complète et totale, et ce d’autant plus qu’avec l’évolution de l’environnement des cyber menaces, de nouvelles zones d’ombre peuvent apparaître sur un réseau, par exemple de nouveaux points de connexions de la part de fournisseurs ou de filiales peuvent apparaître.
Pour améliorer la visibilité, la nouvelle plate-forme unifiée posséder trois capacités fondamentales : - être capable d’identifier rapidement les attaques, en quelques minutes, et non quelques heures ou quelques jours, sachant que le délai moyen au niveau mondial entre une attaque et se découverte reste de 99 jours ; - être capable de valider les seules véritables alertes en éliminant toutes les fausses. En effet, les organisations reçoivent chaque semaine des milliers d’alertes, dont seules 19% sont considérées comme fiables, et 4% sont réellement étudiées ; - comprendre et anticiper le comportement des attaquants, afin de pouvoir traiter les menaces avancées, non détectables à travers des approches traditionnelles à base de signatures.
Les cyber-attaques étant désormais largement couvertes par la presse, même ceux qui ne travaillent pas dans l’industrie de la sécurité savent que répondre rapidement et efficacement à un incident de sécurité est aussi important que se protéger en amont. Des processus permettant de réagir aux attaques de la manière la plus efficace possible sont donc indispensables. Même si cela ne figure pas tout en haut de la liste des priorités pour beaucoup d’organisations, les faits prouvent le contraire. L’année dernière, il a fallu aux entreprises en moyenne 82 jours simplement de pour contenir et remédier à une attaque avancée.
Pour améliorer les délais de réponse, la plate-forme doit impérativement intégrer toutes les opérations de sécurité. Mais pour être pleinement efficace, elle doit aussi tout à la fois enrichir les réponses avec de l’intelligence contextuelle, fournir des outils de gestion des tâches pour les équipes techniques, et automatiser les processus pour améliorer l’efficacité des équipes.
Le troisième objectif de la plate-forme unifiée doit être d’optimiser les coûts, et concrètement le fameux coût total d’acquisition ou TCO, et ses deux composantes, les coûts d’investissement et les coûts de fonctionnement.
Matériel et logiciel, abonnements et mises à jour, coûts de déploiement et de maintenance, tels sont les coûts qui viennent immédiatement à l’esprit. Bien que simples à appréhender de prime abord, ces coûts masquent souvent des redondances et des manques d’efficacité dans l’infrastructure, tels que de multiples solutions offrant les mêmes fonctionnalités, ou des produits offrant une stabilité insuffisante. Dans ce contexte, la plate-forme unifiée doit aussi être capable de rationaliser les coûts en offrant la possibilité d’intégrer des produits existants ou d’en éliminer d’autres.
Les organisations doivent soigneusement choisir où elles dépensent leur temps, car le temps passé se traduit invariablement en coûts de fonctionnement. Pour cette raison, l’automatisation doit être recherchée en priorité, car elle minimise les processus manuels répétitifs tels que la validation des alertes. Trop souvent, les professionnels de la sécurité passent 80% de leur temps à effectuer ces tâches.. En automatisant de telles activités, la plate-forme unifiée permettra à ses professionnels de se concentrer sur des tâches à forte valeur ajoutée, telles que la recherche et la prévention des menaces.
En outre, pour gérer au mieux les conséquences du turnover au sein des équipes, elle devra aussi codifier et automatiser les activités des différents intervenants afin de s’assurer que les meilleures pratiques restent dans l’entreprise.
Enfin, la continuité de service est un paramètre majeur des coûts de fonctionnement. Conserver des talents est aussi difficile qu’en attirer de nouveaux. Recruter un employé est typiquement programmable, mais en perdre un ne l’est pas, et cette perte peut mettre en péril les opérations de sécurité. La plate-forme unifiée devra ainsi dans la mesure du possible confier aux équipes les tâches correspondant le mieux à leurs compétences et à leurs aspirations, afin de minimiser le turnover.
