3min. read

Inutile de collecter des données à tout va. L’essentiel,c’est de collecter ce dont vous avez besoin et de veiller à ce que côté collaborateurs, processus et technologies, tout soit en place pour renforcer votre sécurité.

Depuis plusieurs années, les entreprises de toutes tailles passent au crible l’ensemble de leurs appareils, journaux et services pour collecter des volumes colossaux de données télémétriques sur le trafic et les applications. S’il sert principalement à orienter les décisions opérationnelles et stratégiques, ce capital data peut aussi renforcer significativement la sécurité – à condition d’être traité et exploité efficacement.

Fichiers journaux, évènements système, trafic réseau, applications, systèmes de détection des menaces, flux de Threat Intelligence... ce ne sont pas les sources de données qui manquent pour aider les entreprises à optimiser leurs défenses. Mais cette avalanche de données n’a pas que des avantages. Car en pratique, les organisations ont toutes les peines du monde à en faire bon usage pour affiner leurs politiques de sécurité et leurs stratégies de détection des menaces et de réduction des risques.

Or, si vos systèmes sont incapables de corréler et d’interpréter les données que vous collectez, ils ne vous fourniront aucune lecture de la situation. Ajoutez à cela le cloisonnement de ces données dans vos différents silos organisationnels, et vos équipes de sécurité ne disposent d’aucun moyen d’établir des rapprochements et de remonter la piste d’un incident. De nos jours, les analystes n’ont ni le temps ni les capacités de passer en revue 25 écrans différents pour mener seuls l’enquête, d’autant que cela les détourne de leur mission principale : l’identification des menaces.

Le marché de la cybersécurité compte aujourd’hui tant de solutions spécialisées que les équipes IT se retrouvent à bricoler tant bien que mal des intégrations entre leurs divers outils, dont la plupart n’ont pas été conçus pour être compatibles et interopérables. Face à un tel constat, l’heure est à une approche plus automatisée et intégrée.

Automatisation et playbooks : deux leviers de valorisation de votre capital data

Collecter les bonnes données et en extraire un maximum d’information ne se résume pas à une simple tâche ou opération ponctuelle. C’est un processus au long cours qui s’opère à plusieurs niveaux.

Technologies. Commencez par évaluer les performances de vos ressources technologiques. Vos outils sont-ils capables d’identifier réellement les dernières menaces ? Si ce n’est pas le cas, il est peu probable que vous puissiez collecter des journaux et des données télémétriques pour prendre des décisions éclairées. Voilà donc votre première priorité

Autre piste pour générer plus de valeur, l’automatisation. Même si votre entreprise ne récolte que les données dont elle a strictement besoin, les volumes sont tels que vos équipes ne peuvent tout simplement pas suivre le rythme. D’où la nécessité d’automatiser l’identification des incidents critiques en corrélant et en enrichissant les données brutes des journaux pour produire des informations ciblées et actionnables.

Humain. L’automatisation redonne à vos collaborateurs les moyens de se concentrer sur des tâches à valeur ajoutée. Aujourd’hui, les équipes IT des centres opérationnels de sécurité (SOC) travaillent souvent sur un roulement en trois-huit et passent leur temps devant des écrans où défile un flux incessant de journaux. Côté efficacité, on peut faire mieux, d’autant que cette première ligne de défense est généralement confiée à des analystes de niveau 1 dont la mission consiste à décortiquer ces journaux et à faire remonter ce qui leur semble important. Burn-out ou départ anticipé : la monotonie d’une telle tâche a souvent raison des meilleures volontés. C’est là le nœud du problème : ce sont les personnes les moins expérimentées et les moins rémunérées qui prennent la décision de transmettre ou non un incident à un collègue plus qualifié. Face à cette aberration, il est grand temps de changer de modèle.

En automatisant le traitement de ces énormes volumes de données