mar. Mar 19th, 2024

La France jouit d’une réputation méritée de précurseur dans l’adoption des nouvelles technologies, réputation qui n’a pas failli tout au long de la quatrième révolution industrielle. À l’ère de la transformation numérique, les services automatisés se sont invités à l’agenda de la plupart, voire de toutes, les entreprises régionales, mais, encore récemment, la cybersécurité en était la grande absente.

Le gouvernement français offre un exemple inspirant en renforçant sa stratégie d’accélération «Cybersécurité», grâce à la mise en place de son plan « France Relance » et du Programme d’investissements d’avenir.

Il reste cependant beaucoup à faire. Les professionnels de la sécurité sont débordés et manquent de ressources. C’est notamment le cas des centres des opérations de sécurité (SOC, Security Operations Center) qui reposent encore, pour beaucoup d’entre eux, sur une infrastructure obsolète. Les nouvelles complexités induites par les appareils modernes, les collaborateurs en télétravail et les environnements multiclouds ont rendu les opérations des anciens SOC plus imprévisibles que jamais. Ces changements, associés aux méthodes avancées utilisées dans les ransomwares et les attaques de la supply chain, représentent une véritable épée de Damoclès pour les entreprises qui tarderaient à se moderniser.

Les infrastructures d’ancienne génération, portes d’entrée des attaques avancées

 

Disons-le tout net : les SOC 1.0, généralement centrés sur des moyens de détection obsolètes (solutions basées sur l’agrégation de volumes importants de Log et de systèmes de détection à signatures, par exemple), ne peuvent rien contre les menaces actuelles. Ces outils ont un coût total de possession élevé pour des performances limitées, ne parviennent pas à détecter les attaques en cours et privilégient la prévention au détriment de la résilience. De plus, les technologies utilisées actuellement étant incompatibles avec les anciens SOC, les analystes doivent redoubler d’efforts pour extraire manuellement des données depuis un nombre limité de sources. Tout cela pour n’aboutir qu’à des résultats imprécis, un manque de visibilité et des équipes de sécurité obligées de se démener avec des workflows inefficaces et coûteux.

Il est temps de changer. Nous l’avons constaté maintes et maintes fois : les techniques de prévention ne parviennent pas à détecter les attaques de ransomware. Ces attaques nécessitant une intervention humaine (aucun malware n’est déployé avant l’étape finale), seules la détection et la neutralisation des déplacements des cybercriminels à l’intérieur de l’environnement attaqué sont en mesure de les bloquer. En outre, les cybercriminels ont actuellement à leur disposition de nombreux moyens pour contourner l’authentification multifacteur. Si la détection des menaces sur les terminaux est importante, elle ne peut rien contre un cybercriminel astucieux utilisant des identifiants de connexion volés.

La bonne nouvelle, c’est qu’il n’est pas si compliqué de se protéger de ces attaques.

Moderniser les SOC

Avant d’en venir à la solution au problème, prenons le temps de nous intéresser à la vie des professionnels de la sécurité. Alors que l’expérience client était la priorité absolue avant la pandémie, les entreprises doivent maintenant se consacrer à l’expérience de leurs collaborateurs. L’efficacité avérée du travail à distance permet aux cyber talents de travailler d’où ils le souhaitent et lors de la conception d’un nouveau SOC, l’entreprise doit imaginer un écosystème qui allège la charge de travail des profils techniques. Sinon, elle risque de perdre les candidats les plus qualifiés au profit d’autres organisations.

Raison de plus pour mener un travail de modernisation basé sur une approche évolutive qui priorise la visibilité et le workflow. On pourrait comparer cette approche à un « chien policier » numérique, capable de repérer sans erreur de la drogue ou des explosifs quel que soit le contexte et de les rapporter au spécialiste en traque des menaces.

La détection est grandement automatisée et le rôle du SIEM est d’aider à l’investigation. L’automatisation est principalement le fait de l’Intelligence Artificielle. Deux grands composants sont utilisés à ce niveau l’EDR (pour la détection sur les postes et les serveurs) et de NDR (Network Détection et réponse). Ce dernier apporte une vue exhaustive sur l’ensemble des éléments constitutifs de l’infrastructure et créé une vue globale notamment sur les environnements IT et IOT. Le nouveau SOC, que nous pouvons appeler SOC 2.0, place un filet de surveillance virtuel sur l’ensemble des assets présents dans les environnements physiques et cloud. Cette nouvelle approche du SOC permet de se focaliser sur la méthodologie de l’attaquant (comportement) plutôt que sur l’usage de tel ou tel attaque précise (signature). Il est alors possible de détecter des attaques encore inconnues des outils classiques.

La première étape consiste à doter votre SOC de l’intelligence artificielle. Avec une plate-forme d’IA appropriée, vous pourrez améliorer la précision des alertes, optimiser les investigations et la traque des menaces, et booster les performances. Vos analystes pourront ainsi identifier les menaces prioritaires. L’intelligence artificielle est particulièrement performante pour traiter rapidement et efficacement de gros volumes de données, tandis que l’intervention humaine est nécessaire pour gérer les ambiguïtés et contextualiser les informations. En d’autres termes, l’intelligence artificielle aide les SOC à exploiter pleinement les compétences des analystes. Par exemple, l’IA peut repérer et bloquer une attaque en pleine nuit, ce qui permet une gestion plus sereine de ce type d’évènement.

Gagnez en sérénité

 

Les analystes disposent enfin des capacités d’intelligence artificielle et d’apprentissage automatique dont ils ont besoin pour identifier les comportements à risque, tandis que d’autres outils d’IA automatisent une grande partie du workflow de premier niveau des SOC d’ancienne génération. Le SOC modernisé est donc une sorte de cybersentinelle prête à l’emploi, capable de s’améliorer par apprentissage automatique. Il réduit de façon significative l’incidence de faux positifs, ainsi que la charge de traitement des alertes de sécurité.

Pour disposer d’un centre des opérations de sécurité performant et durable, les entreprises n’ont d’autre choix que de le moderniser. Les investigations sur les menaces donnent de meilleurs résultats lorsqu’elles s’appuient sur une analyse solide et précise, réalisée par des systèmes intelligents et évaluée par des professionnels formés, qui n’ont plus qu’à faire le tri dans une liste de suspects largement épurée.

Dans une région où la conformité réglementaire est un cauchemar pour bon nombre de parties prenantes, ces SOC peuvent optimiser la gouvernance et donner confiance aux régulateurs, investisseurs et clients. La capacité à détecter, classer et prioriser les menaces en temps réel garantit une résolution rapide et efficace des problèmes, et évite des compromissions coûteuses et embarrassantes.

Réduction du temps de travail, amélioration des résultats, diminution des coûts, accélération du délai de résolution, renforcement de la conformité et capacité à contrer les attaques inconnues et furtives : ce « chien policier » a tout pour plaire.

Click to rate this post!
[Total: 0 Average: 0]

By Manuel