L'automatisation du cloud peut-elle résoudre le problème de la fatigue des analystes de sécurité ?

Les menaces touchant le cloud étant appelées à se multiplier, la mise en place de technologies innovantes pour renforcer la main-d'œuvre humaine devrait être sérieusement envisagée. L'automatisation de la sécurité du cloud est un bon point de départ.

Selon une récente étude menée auprès de professionnels de la sécurité informatique aux États-Unis et en Europe, plus d'une alerte de sécurité sur quatre est un faux positif. Le risque existe donc, dans tout ce bruit, que les analystes de sécurité passent à côté de véritables incidents et ne parviennent pas à hiérarchiser correctement les tâches.

La montée en puissance des attaques visant le cloud

Alors que nous entrons dans un monde post-Covid, la reprise économique et la réussite des entreprises reposent largement sur l’innovation numérique. L’accélération des initiatives de transformation digitale s’accompagne inévitablement d’une migration rapide et non planifiée vers le cloud. Dans son analyse des cybermenaces de 2020, McAfee a découvert que les utilisateurs du cloud ont subi près de 3,1 millions d'attaques externes tout au long de l'année dernière, avec une augmentation de plus de +100% chaque trimestre.

Les craintes relatives à la sécurité du cloud sont donc fondées, d'autant plus que dans la précipitation, les entreprises ne savent bien souvent pas qui assume la responsabilité de la sécurité une fois que leurs données sont dans le cloud. Comme l'indique Kasey Panetta, analyste chez Gartner, "le défi ne réside pas dans la sécurité du cloud en soi, mais dans les politiques et les technologies pour la sécurité et le contrôle de la technologie. Dans presque tous les cas, c'est l'utilisateur, et non le fournisseur de cloud, qui ne parvient pas à gérer les contrôles utilisés pour protéger les données d'une organisation". Gartner prédit d’ailleurs que d'ici 2025, 99 % des défaillances de la sécurité du cloud seront imputables au client.

Les attaques Zero Day représentent l'un des plus gros problèmes de sécurité dans l'environnement cloud. Parce qu’elles exploitent des vulnérabilités pour lesquelles les analystes de sécurité n’ont pas encore trouvé de solution ou ne savent même pas qu’elles existent, ces attaques sont dites inconnues. Ce sont ces inconnues qui constituent les plus grandes menaces pour les équipes informatiques. De nombreux professionnels de la sécurité n'ont pas accès aux outils qui assurent une surveillance efficace du réseau dans les environnements à la fois cloud et sur site, ou bien ils n'ont pas l'expérience et l'expertise nécessaires pour garder le rythme face à l'évolution des menaces. Alors que les environnements multi-cloud et hybrides jouent désormais un rôle majeur dans la mise en place du travail à distance, de nouvelles règles de sécurité doivent donc être écrites à la fois pour les outils numériques et les processus informatiques. Au lieu de se concentrer sur les menaces identifiables, les analystes SOC devraient être à l'affût des anomalies réseau et comportementales qui pourraient indiquer la présence d'une attaque Zero Day, en utilisant des outils d'automatisation qui permettent de réduire le bruit et d’identifier les irrégularités.

Des humains plus efficaces grâce à l’automatisation et la visibilité

La question de l’automatisation devrait toujours être mise en vis-à-vis des personnes et des processus. L’automatisation de la sécurité du cloud fait plus qu’améliorer les processus de détection des menaces, elle allège également la charge de travail des analystes de sécurité. Ces derniers conservent toutefois un rôle vital dans la protection de l’environnement cloud, car l’automatisation vient augmenter les capacités des analystes et non les remplacer complètement. Les technologies d'automatisation sont spécifiquement conçues pour réduire le bruit des alertes, filtrer les résultats et fluidifier les tickets afin de s’assurer que les faux positifs sont éliminés et que les vulnérabilités Zero Day sont détectées, signalées et classées par ordre de priorité. Les équipes SecOps qui capitalisent sur cette automatisation peuvent ensuite appliquer à leurs données un contexte spécifique et prendre de meilleures décisions sur la base des alertes qui sont remontées automatiquement en haut de la liste. Dans les environnements cloud en particulier, qui disposent bien souvent de nombreux outils de surveillance, l’automatisation est encore plus essentielle.

Lorsque vous mettez en œuvre l’automatisation dans la sécurité du cloud, le niveau de visibilité que vous gagnez sur vos données est un point de considération important. Sans une vue totalement unifiée sur le trafic de tout votre réseau, l’automatisation ne servira pas à grand-chose. Il est impossible de gérer ce que vous ne pouvez pas voir, mais il est encore plus dur d’analyser et de dégager des informations exploitables de données qui sont cachées ou à moitié visibles. Si la priorité n’est pas donnée à la visibilité du cloud, il est fort probable que les anomalies censées être identifiées par les outils d’automatisation passent encore inaperçues. De plus, la coexistence de systèmes anciens et cloud amène bien souvent les entreprises à utiliser différents outils pour gérer différents environnements. Les angles morts sont alors inévitables. Il est donc indispensable de fournir aux analystes de sécurité une solution automatisée couvrant tout à la fois les environnements multi-cloud et cloud hybrides, et les infrastructures sur site.

Avec l'arrivée de la 5G et la croissance exponentielle du volume de données qu'elle entraînera, le bruit des alertes ne fera qu'augmenter. Il est important que les équipes SecOps s’équipent d’outils tels que l'automatisation pour contrer la fatigue et diminuer leur charge de travail, mais aussi pallier la pénurie de compétences IT. Le cloud va indéniablement participer à la reprise des entreprises post-Covid, mais il pourra également être source d’échec si sa sécurité n’est pas optimisée.