Automatisation de la cybersécurité : rééquilibrer le rapport de force
De nos jours, maints facteurs remettent en question nos pratiques de cybersécurité. Outre l’adoption massive de nouvelles technologies et de nouveaux business models (solutions cloud, plateformes d’e-commerce, équipements IoT, etc.), la transformation numérique a entraîné une nette augmentation des équipes distribuées. Ces différentes évolutions se sont à leur tour accompagnées d’une recrudescence des nouvelles menaces, des risques et des actes de cybercriminalité.
Alors que les entreprises se relèvent progressivement de la pandémie, nombre de risques et d’incertitudes auxquels elles ont été confrontées durant cette période persistent, notamment ceux concernant les équipes hybrides et la supply chain.
Examinons certaines de ces problématiques et la manière dont l’automatisation contribue à rééquilibrer le rapport de force.
Problématique : pénurie de talents en cybersécurité
Le manque de compétences en cybersécurité constitue l’un des principaux facteurs de recrudescence des cyberattaques. Le nombre de professionnels expérimentés dans le monde demeure insuffisant par rapport aux effectifs nécessaires pour gérer les cybermenaces qui émergent dans tous les secteurs d’activité. Tandis que les besoins humains ne cessent d’augmenter, les chiffres réels, eux, affichent une croissance timide, ce qui ne fait que creuser le fossé entre l’offre et la demande.
Cette situation contraste énormément avec le marché mondial de la cybersécurité, appelé à croître de façon exponentielle, porté par une demande accrue en solutions et en produits. La prolifération des cyberattaques, les évolutions dans la transformation numérique et la pénurie de talents contribuent à cette croissance. D’où l’importance pour les entreprises d’acquérir/de déployer des solutions de sécurité plus avancées pour détecter les attaques et en réduire le risque.
Automatisation, IA et vocation
Des thermostats dans nos maisons aux respirateurs dans les hôpitaux, les systèmes d’automatisation envahissent notre quotidien. Certes l’automatisation et l’intelligence artificielle (IA) ne reviennent pas exactement au même, mais beaucoup d’éléments provenant de l’IA et du machine learning (ML) ont été intégrés aux systèmes de sécurité pour leur permettre d’apprendre, de détecter, et de stopper automatiquement les cybermenaces. Au lieu de simplement nous alerter d’une menace, un système automatisé peut donc la neutraliser.
À la base, l’automatisation n’a qu’un objectif : permettre aux machines d’effectuer des tâches répétitives, chronophages et monotones pour que nos précieux talents puissent se concentrer sur des missions plus stratégiques ou des activités nécessitant une intervention humaine. Il en résulte des équipes de sécurité plus efficaces, plus rentables et plus productives.
Même les acteurs cyber se servent de l’automatisation pour mener leurs attaques. Par exemple, le ver MyDoom, l’un des malwares à la vitesse de propagation la plus rapide sur Internet, se répand grâce à l’automatisation. Il aurait causé environ 38 milliards de dollars de dommages et ne cesse de se propager. Cependant, le plus surprenant, c’est que MyDoom n’est pas une nouveauté. Apparu en 2004, il rôde encore sur Internet.
L’une des craintes persistantes dans le domaine de la cybersécurité est de voir l’automatisation supplanter les humains. Même si cette appréhension est quelque peu fondée, l’automatisation a pour vocation première de renforcer les capacités des humains dans l’exécution des opérations de sécurité, voire d’aider les entreprises à pallier le manque croissant de talents en venant en appui de leurs équipes. En outre, aussi avancée qu’elle puisse paraître, l’automatisation sera toujours dépendante de l’humain, entièrement configurable et supervisée par une équipe de sécurité. Force est de constater que l’automatisation et l’IA engendrent plutôt de nouvelles fonctions de cybersécurité : auditeur des biais algorithmiques, responsable des risques liés aux machines, etc.
Avantages de l’automatisation
Détection des menaces potentielles, endiguement, neutralisation des attaques… les atouts de l’automatisation sont multiples. Ces actions ne prennent que quelques secondes et se passent d’une quelconque intervention humaine. Déployée via une solution d’orchestration, d’automatisation et de réponse aux incidents de sécurité (SOAR), l’automatisation apporte une aide considérable aux SOC dans l’exécution de leurs tâches, avec à la clé des gains de productivité et de réactivité. Le rapport 2022 sur le coût d’une compromission de données met en avant le rôle de l’automatisation dans la division par deux du coût d’une compromission et la réduction de 77 jours du temps de détection et d’endiguement des menaces1.
De son côté, l’orchestration permet d’activer les multiples outils de votre environnement opérationnel, en les connectant de façon transparente via des playbooks conçus pour des actions spécifiques. Votre équipe cyber peut ainsi centraliser toutes les informations nécessaires autour d’un processus de réponse cohérent et reproductible.
Des fonctionnalités supplémentaires intégrées au moteur IA/ML du système SOAR permettent d’étudier les attributs des alertes et d’exploiter ces connaissances pour prévenir les attaques. Tous les évènements et alertes traités sont analysés dans l’optique de répondre à des besoins futurs. De fait, l’automatisation contribue grandement à rendre la cybersécurité agile et proactive.
La plus grande force de l’automatisation, c’est qu’elle améliore la qualité de vie de votre équipe de sécurité. Elle réduit l’accoutumance et la frustration liées aux alertes, et permet de gagner un temps précieux. À l’ère de la grande démission, la rétention des talents s’impose comme un défi majeur2. Fidéliser vos collaborateurs vous permet d’augmenter le ROI de vos effectifs – et de reconnaître ainsi les investissements massifs des entreprises en termes de recrutement, de formation continue et d’acquisition de nouvelles compétences au fil de l’expérience.
L’automatisation aide les entreprises à gérer la problématique des talents. Elle optimise également le retour sur investissement de vos outils et technologies existantes, en les intégrant dans le processus d’orchestration.
Par où commencer ?
Une condition préalable à l’automatisation consiste à collecter et à corréler des données. Tout système d’automatisation efficace exige de bonnes données. Plus les sources de données sont nombreuses, plus la qualité des opérations est meilleure.
Ciblez les données de tous les éléments de votre environnement d’entreprise : terminaux, réseau, cloud, etc. Une fois toutes ces données collectées, le système IA/ML intégré à la plateforme d’automatisation en facilite l’analyse et la corrélation. Ce sont ces deux composants qui rendent possible l’automatisation de la cybersécurité.
Ensuite, analysez vos procédures opérationnelles standard (SOP), en recherchant les activités/processus récurrents, ceux qui réduisent non seulement la charge de travail, mais aussi le risque de passer à côté d’une alerte. Recherchez notamment les tâches qui ne varient pas de manière imprévisible. Ce sont là de bons candidats à l’automatisation.
L’étape suivante consiste à identifier les outils qui doivent être orchestrés au sein de ces processus, ainsi que les API requises pour activer les intégrations. Si nécessaire, créez ces API.
Enfin, concevez votre playbook pour contrôler le processus, et ainsi pouvoir le reproduire systématiquement et l’améliorer au fil du temps. Incluez toutes les actions spécifiques dont vous avez besoin, le(s) outil(s) nécessaire(s), et toute autre tâche supplémentaire (blocage, notification, endiguement, etc.).
Ne faites pas l’impasse sur l’automatisation
À l’heure de la transformation numérique, la cybersécurité s’avère essentielle pour toute entreprise désireuse de protéger ses données, ses collaborateurs et ses clients. Seulement voilà, face à des adversaires toujours plus innovants et habiles dans leurs attaques, une simple mise en œuvre de la cybersécurité ne suffit pas.
Alors que les entreprises poursuivent leurs initiatives de transformation numérique associées aux avancées technologiques, l’automatisation de la cybersécurité ne relève plus de la recommandation, mais de l’obligation pour rééquilibrer le rapport de force.
1. Rapport 2022 sur le coût d’une compromission de données, IBM Security, juillet 2022.
2. Paula Morgan, « Top Five Tips For Retaining Employees During The Great Resignation », Forbes, 4 août 2022.