Automatisez la sécurité

Alors que les professionnels de la sécurité continuent à affûter leurs compétences et à gagner en expérience, le volume et l'accélération des attaques, ainsi que les évolutions du digital et les menaces qui en découlent, sont autant de facteurs susceptibles d'aboutir à des carences en matière de sécurité. En 2007, par exemple, les centres de sécurité (SOC - security operation center) devaient traiter, en moyenne, moins de 1 000 alertes par jour. En 2017, ce chiffre était de plus de 1 000 000 alertes par jour, soit 1 000 fois plus en seulement 10 ans.[1] À l'évidence, maîtriser cette problématique ne s'annonce guère simple. Le renforcement des équipes au sein des SOC n'est pas une solution pérenne, car il ne s'agit pas de vouloir en faire davantage en gardant les mêmes processus en place. Une nouvelle approche s'impose donc.

Chaque jour, nous détectons et neutralisons des attaques. Mais la tâche est fastidieuse et nous éloigne de nos autres priorités en matière de sécurité. La solution consiste à accélérer ces tâches et, pour cela, à privilégier l'automatisation. Cependant, la complexité des infrastructures de sécurité actuelles impose de ne pas se contenter d'une seule méthode pour résoudre tous ces problèmes.

L'automatisation est la première étape, et il s'agit de se pencher sur différents niveaux d'automatisation. Certaines tâches répétitives de base peuvent être automatisées via une simple intégration. Mais nombre de lacunes de sécurité résultent de divergences en matière d'outils et d'objectifs, entre les équipes réseau (NOC) et celles dédiées à la sécurité (SOC). À titre d'exemple, le NOC a pour priorité de renforcer la productivité opérationnelle, tandis que le SOC privilégie une détection efficace. Dans un monde idéal, ces deux disciplines devraient collaborer étroitement. Mais il est souvent tentant pour le NOC de désactiver la sécurité à des fins de performances ou de haute disponibilité. Du côté du SOC, il est tentant de vouloir ralentir les performances et les accès, pour approfondir les inspections. Une automatisation peut réconcilier ces deux objectifs, mais elle doit être active sur l'ensemble du périmètre organisationnel.

 

 

Définition NOC-SOC

 

 

Ressources associées

 

 

Produits

 

[1] Optiv research, 7 septembre 2017, Dave DeWalt, Général David Patraeus (honoraire)