3min. read

Inutile de collecter des données à tout va. L’essentiel,c’est de collecter ce dont vous avez besoin et de veiller à ce que côté collaborateurs, processus et technologies, tout soit en place pour renforcer votre sécurité.

Depuis plusieurs années, les entreprises de toutes tailles passent au crible l’ensemble de leurs appareils, journaux et services pour collecter des volumes colossaux de données télémétriques sur le trafic et les applications. S’il sert principalement à orienter les décisions opérationnelles et stratégiques, ce capital data peut aussi renforcer significativement la sécurité – à condition d’être traité et exploité efficacement.

Fichiers journaux, évènements système, trafic réseau, applications, systèmes de détection des menaces, flux de Threat Intelligence... ce ne sont pas les sources de données qui manquent pour aider les entreprises à optimiser leurs défenses. Mais cette avalanche de données n’a pas que des avantages. Car en pratique, les organisations ont toutes les peines du monde à en faire bon usage pour affiner leurs politiques de sécurité et leurs stratégies de détection des menaces et de réduction des risques.

Or, si vos systèmes sont incapables de corréler et d’interpréter les données que vous collectez, ils ne vous fourniront aucune lecture de la situation. Ajoutez à cela le cloisonnement de ces données dans vos différents silos organisationnels, et vos équipes de sécurité ne disposent d’aucun moyen d’établir des rapprochements et de remonter la piste d’un incident. De nos jours, les analystes n’ont ni le temps ni les capacités de passer en revue 25 écrans différents pour mener seuls l’enquête, d’autant que cela les détourne de leur mission principale : l’identification des menaces.

Le marché de la cybersécurité compte aujourd’hui tant de solutions spécialisées que les équipes IT se retrouvent à bricoler tant bien que mal des intégrations entre leurs divers outils, dont la plupart n’ont pas été conçus pour être compatibles et interopérables. Face à un tel constat, l’heure est à une approche plus automatisée et intégrée.

Automatisation et playbooks : deux leviers de valorisation de votre capital data

Collecter les bonnes données et en extraire un maximum d’information ne se résume pas à une simple tâche ou opération ponctuelle. C’est un processus au long cours qui s’opère à plusieurs niveaux.

Technologies. Commencez par évaluer les performances de vos ressources technologiques. Vos outils sont-ils capables d’identifier réellement les dernières menaces ? Si ce n’est pas le cas, il est peu probable que vous puissiez collecter des journaux et des données télémétriques pour prendre des décisions éclairées. Voilà donc votre première priorité

Autre piste pour générer plus de valeur, l’automatisation. Même si votre entreprise ne récolte que les données dont elle a strictement besoin, les volumes sont tels que vos équipes ne peuvent tout simplement pas suivre le rythme. D’où la nécessité d’automatiser l’identification des incidents critiques en corrélant et en enrichissant les données brutes des journaux pour produire des informations ciblées et actionnables.

Humain. L’automatisation redonne à vos collaborateurs les moyens de se concentrer sur des tâches à valeur ajoutée. Aujourd’hui, les équipes IT des centres opérationnels de sécurité (SOC) travaillent souvent sur un roulement en trois-huit et passent leur temps devant des écrans où défile un flux incessant de journaux. Côté efficacité, on peut faire mieux, d’autant que cette première ligne de défense est généralement confiée à des analystes de niveau 1 dont la mission consiste à décortiquer ces journaux et à faire remonter ce qui leur semble important. Burn-out ou départ anticipé : la monotonie d’une telle tâche a souvent raison des meilleures volontés. C’est là le nœud du problème : ce sont les personnes les moins expérimentées et les moins rémunérées qui prennent la décision de transmettre ou non un incident à un collègue plus qualifié. Face à cette aberration, il est grand temps de changer de modèle.

En automatisant le traitement de ces énormes volumes de données et les décisions d’escalade des incidents les plus graves, les équipes de sécurité peuvent enfin se consacrer à des défis plus complexes, comme la traque des menaces. Concrètement, au lieu de passer au peigne fin d’innombrables alertes et journaux, ils peuvent faire le lien entre des sources de données disparates dans l’optique de repérer les risques potentiels. L’entreprise est donc gagnante sur tous les plans

Processus. Enfin, l’amélioration continue et la maximisation du capital data passent nécessairement par une adaptation permanente des processus. L’idée, c’est d’affiner constamment les données et les technologies déjà en place, de continuer à mettre au point des playbooks qui serviront de trame à l’automatisation, et enfin d’automatiser toutes les tâches répétitives.

Mais dans un contexte de démultiplication des sources de données de sécurité, difficile de savoir par où commencer. Pour renforcer significativement votre posture de sécurité, agissez en trois temps : 1) identification des sources de données de sécurité de l’entreprise, 2) rationalisation des processus via l’automatisation et les playbooks, et 3) mise en corrélation grâce à des outils technologiques offrant une vue unifiée