Les évolutions nécessaires pour une cybersécurité toujours plus efficace

Les équipes opérationnelles qui assurent la sécurité et la disponibilité des réseaux d'entreprise sont mises à rude épreuve par l'adoption de nouveaux services et infrastructures.

La complexité accrue des réseaux d’entreprise évolue sans cesse, notamment avec l’adoption des services et infrastructures cloud, des applications mobiles, des postes de travail virtuels, des solutions SDN/NFV et l’apparition de multiples objets connectés. Tout cela met à rude épreuve les équipes opérationnelles qui assurent la sécurité et la disponibilité du réseau. Dans le même temps, un nombre croissant d’attaques toujours plus élaborées et persistantes remet en question les rôles et structures traditionnels au sein de l’organisation des entreprises.

Si les évolutions technologiques jouent un rôle important dans l’évolution des menaces, elles sont également primordiales dans la lutte contre les attaques (workflows intégrés et davantage automatisés, intelligence artificielle accélérant la gestion et l’analyse des alertes ou encore une veille sur les menaces plus exploitable et mieux intégrée) sont autant de vecteur d’amélioration. Cependant, la protection contre les attaques modernes requiert des évolutions d’organisation et une coordination parfaite entre les équipes opérationnelles qui gèrent les réseaux, l’IT et celles en charge de la sécurité informatique.
Points naturels de convergence
Des attaques avancées qui tentent d’exploiter des failles de sécurité ou des vulnérabilités traversent régulièrement le réseau de l’entreprise. La nécessité d’avoir une vue suffisante pour analyser le trafic sur le réseau est un point naturel de convergence des équipes de sécurité et de leurs homologues en charge des opérations réseau qui partagent cet objectif. Si les architectes, ingénieurs et analystes du SOC ont l’initiative en matière de cyber sécurité, les équipes du réseau jouent un rôle crucial dans la neutralisation des attaques et leur effort commun est le garant du maintien du fonctionnement de l’infrastructure informatique de l’entreprise ou de son rétablissement. Un autre point de convergence apparait entre les équipes sécurité et IT qui gèrent les serveurs et les postes de travail, elles doivent travailler en étroite collaboration le confinement et la remédiation, visant à limiter les effets ou détruire les malwares.
Ce que disent les études
Comment les équipes de sécurité et informatiques voient-elles elles-mêmes leur coopération actuellement ? ESG Research et ISSA collaborent chaque année sur l’enquête internationale The State of CyberSecurity Professional Careers, réalisée auprès de 437 professionnels de la sécurité et de l’informatique. Celle-ci nous apprend que plus les participants occupent un poste à haute responsabilité, meilleure est leur perception de la relation entre les équipes : 48 % des cadres jugent ainsi cette relation très bonne. Cependant, parmi ceux qui interviennent en première ligne dans le domaine de la cybersécurité, les résultats ne sont pas aussi encourageants. Seuls 32 % des professionnels de terrain de la sécurité et de l’informatique estiment en effet que leur relation de travail est efficace en ce qui concerne la sécurité.Voici les trois principaux problèmes qui se posent entre les équipes de sécurité et informatiques :
  • Priorisation des tâches entre les deux groupes
  • Coordination des processus
  • Alignement des objectifs
La technologie peut contribuer à faciliter cette collaboration grâce à un meilleur partage des données et à des workflows automatisés communs entre les équipes distinctes chargées de la sécurité et du réseau. Des tableaux de bord ou interfaces adaptables peuvent être mis en place autour du rôle spécifique de chaque utilisateur mais en s’appuyant sur des données et définitions conjointes, convenues d’un commun accord. Cependant, une avancée significative ne pourra avoir lieu que si de nouveaux processus et des attributions de nouveaux rôles et de nouvelles responsabilités ont lieu.Les voies d’améliorationUne étape fondamentale dans l’optimisation du travail des équipes sécurité, IT et réseau consiste à conjointement définir les incidents de sécurité ainsi que la réponse qui leur sont apportées : leur caractérisation, leur niveau de sévérité, leur niveau de priorité dans la mise en place des contre-attaques, du confinement ou de la remédiation, les processus d’escalade ou de mise en place de cellule de crise…etc.Un autre aspect essentiel porte sur la diffusion des informations avant, pendant et après le traitement des incidents. Des communications régulières sur les défenses mises en place, le traitement des incidents et les conséquences des attaques – et retour à l’étape 1 ce qui est mis en place pour s’en prémunir le cas échéant – sont cruciales pour maintenir l’efficacité maximale du traitement de ces incidents.Quelques pistes de mesures structurelles et organisationnelles à prendre afin d’améliorer la coordination entre les équipes sont également suggérées :
  • Renforcer la participation de la sécurité dans la planification informatique
  • Adopter de nouveaux processus ou frameworks informatiques (COBIT, ITIL, NIST-800, etc.)
  • Transférer certaines tâches de l’informatique à l’équipe de sécurité
Une participation régulière des équipes de sécurité à la planification informatique fera beaucoup pour améliorer la transparence et la confiance entre les équipes. Elle permettra également d’associer la sécurité aux nouvelles initiatives informatiques en matière de planification, de test et de déploiement pour mieux adapter les défenses à mettre en place. De même, des frameworks tels que COBIT et ITIL peuvent formaliser les workflows et favoriser une communication efficace. Ils peuvent aussi contribuer à instaurer la confiance entre les organisations et les membres de l’équipe.
La sécurité, un chantier perpétuellement inachevé
Une sécurité efficace a toujours été une affaire de groupe. La complexité croissante des réseaux d’entreprise, le maillage et l’accroissement de la capacité des grands réseaux d’opérateurs, l’accroissement permanent des capacités d’hébergement d’application ajoutée à la capacité des auteurs d’attaques avancées d’évoluer en parallèle pour lancer des attaques toujours plus efficaces remettent en question en permanence les rôles et structures en place au sein des entreprises et organisations gouvernementales. L’efficacité de la cyber sécurité a de tout temps nécessité un effort collectif. La convergence des équipes opérationnelles de sécurité, IT et réseau va demeurer un chantier en cours. De même que les technologies et outils évoluent, les équipes de part et d’autre doivent continuer à faire évoluer leur collaboration.