Réponse aux incidents : gagnez en efficacité avec l’automatisation
Les cyber-menaces sont en nette augmentation et elles se sont récemment considérablement diversifiées. A cela s'ajoute un manque cruel de compétences.
Depuis quelques années, les cyber-menaces sont devenues une réalité pour toutes les entreprises, quelle que soit leur taille ou leur secteur d’activité : les cyber-menaces sont en nette augmentation et elles se sont récemment considérablement diversifiées. Ceci est d’autant plus vrai que les infrastructures informatiques des entreprises deviennent complexes (on-premise, on-cloud…) et donc plus difficiles à maîtriser et à sécuriser.
Il faut ajouter à ceci un manque cruel de compétences dans le secteur de la cybersécurité : les experts sont trop peu nombreux pour répondre aux besoins des organisations et des entreprises. Au niveau mondial, on estime à 3 millions le nombre de postes ouverts dans le secteur de la sécurité informatique.
Les enjeux de la sécurité opérationnellePour répondre et faire face aux incidents de sécurité liés à ces menaces, les entreprises se dotent ou font appel aux services d’un centre d’opérations de sécurité (Security Operations Center ou SOC en anglais). Le SOC est une entité en charge de la supervision de la sécurité de l’infrastructure IT et, plus largement, de celle du système d’information d’une entreprise. Elle se compose essentiellement d’analystes et d’experts en sécurité chargés de l’analyse et de la réponse aux incidents.
Le SOC est malheureusement très coûteux à mettre en place et vorace en ressources humaines. En effet, afin d’être performant, il doit être doté de moyens adéquats pour effectuer une veille permanente des cyber-attaques, mais il doit également disposer de l’effectif suffisant pour générer, en un temps voulu et toujours plus court, une analyse et une réponse aux incidents de sécurité.
Aujourd’hui, face à la complexité et à l’augmentation des cyber-menaces, il est de plus en plus difficile de garantir la même qualité de prestation au même coût. Ainsi le SOC est contraint de repenser sans cesse ses modèles et ses procédures. Dans ce sens, une des solutions préconisées est l’automatisation du traitement et de la réponse aux incidents.
L’automatisation, une réelle solution ?Pour les experts en cybersécurité, l’automatisation est évidemment une des voies à suivre pour répondre aux défis de supervision des cyber-menaces. En effet, un projet d’automatisation bien réalisé garantit les avantages suivants :
- Dans leur travail de traitement et de réponses aux incidents, les analystes et experts en sécurité sont amenés à réaliser des opérations identiques pour différents types d’incidents. Identifier ces tâches et les automatiser permet ainsi de libérer les analystes des travaux les plus chronophages afin qu’ils puissent se consacrer à des activités à plus forte valeur ajoutée.
- Les erreurs humaines restent importantes, y compris lors du traitement d’un incident de sécurité. L’automatisation permet de garantir un niveau de qualité constant à la réponse apportée, quelles que soient les compétences et le degré d’implication des analystes.
- Afin de traiter un incident de sécurité, les analystes sont amenés à réaliser des recherches d’informations complémentaires sur le contexte de l’incident. Avec l’automatisation, l’extraction de ces informations et leur consolidation sont réalisées avec une implication minimum des analystes. Cela entraîne une réduction significative du temps de traitement des incidents.
Automatisation autour du SIRP (Security Incident Response Platform)
Le SIEM1 a été la première étape dans l’automatisation du traitement des incidents, apportant une capacité de collecte, d’analyse de corrélation des événements de sécurité et d’alerte.
Le SIRP (Plateforme de réponse aux incidents de sécurité) vient maintenant compléter ce premier dispositif. Il est lié de façon plus étroite aux fonctions de sécurité de l’entreprise (SIEM, antivirus, anti-spam, pare-feu…) pour apporter plus de contexte aux incidents (consolidation des IOCs2, etc.) et pour orchestrer leur résolution (préparation et application des plans de remédiation). Bénéficiant de cet interfaçage bidirectionnel, dans un projet de mise en œuvre, l’automatisation pourrait s’organiser autour du SIRP comme brique centrale.
SIRP, une brique centrale dans l’orchestration et l’automatisation de traitement des incidents
Quelques astuces pour vos projets d’automatisationMalgré ses qualités, l’automatisation de la réponse aux incidents introduit de nouvelles problématiques. Voici quelques principes clés pour réussir votre projet d’automatisation :
- La solution SIRP est souvent employée comme brique centrale pour l’orchestration et l’automatisation de la réponse aux incidents. Il convient d’être prudent dans le choix de cette solution, et de s’assurer qu’elle dispose des connecteurs pertinents, requis pour s’intégrer avec le système d’information de votre entreprise et vos services de sécurité tiers.
- L’analyste en sécurité seul n’est pas le profil idéal pour automatiser des tâches. Optez pour un binôme avec un développeur (apportant le savoir-faire en automatisation). Employez de préférence des méthodes agiles, avec des cycles de développement courts pour évaluer les résultats régulièrement. Une fois l’automatisation effective, il faut en surveiller son bon fonctionnement afin de vérifier que des informations et des indicateurs importants ne vous ont pas échappé. Cette évaluation continue a pour objectif de vérifier la pertinence et l’efficacité de la solution.
Avant de démarrer un projet d’automatisation, il faut identifier les tâches qui prennent le plus de temps ou sont les plus récurrentes de manière à prioriser. Il ne s’agit pas uniquement de libérer le temps des analystes : automatiser représente un investissement financier et humain important. Il est donc essentiel de trouver le point d’équilibre entre l’efficacité et le coût de l’automatisation.
1 : SIEM – Security Information & Event Management (Gestion de l'information et des événements de sécurité)
2 : IOC – Indices de Compromis