Les organisations veulent se protéger au mieux contre les cybermenaces, mais trop souvent, elles limitent leur action à la protection. Les autres étapes clés passent à l’arrière-plan. Voilà l’intérêt d’une approche SecOps intégrée.
La sécurité optimale ne consiste pas en un seul bon pare-feu ou en une seule excellente solution pour les points finaux. Le Cyberfundamentals framework du CCB définit la sécurité comme étant la même chose que le NIST aux États-Unis : une maison sécurisée repose sur cinq piliers : Identifier, Protéger, Détecter, Répondre et Récupérer.
« Trop souvent, on met l’accent sur la seule protection », explique Patrick Commers, Évangéliste en cybersécurité chez Fortinet Belgique. Et les organisations dépendent encore souvent de solutions ponctuelles. « Ces organisations croulent sous une multitude de journaux, d’alertes et de données. Elles sont sécurisées, mais les équipes informatiques sont surchargées et ne peuvent pas répondre aux alertes des solutions de sécurité. »
SecOps : plus que la protection
Selon lui, la solution réside dans les opérations de sécurité ou SecOps. « SecOps comprend les quatre premiers piliers du framework et donc pas seulement la protection », sait Commers. De plus, l’approche est intégrée. Une bonne protection est liée aux capacités de détection et à la capacité d’agir efficacement en cas de détection. Commers pense que trois défis majeurs poussent les organisations à adopter une approche SecOps :
- Les attaques sont de plus en plus sophistiquées. Selon le rapport Verizon 2023 Data Breach Investigations Report, 74 % d’entre elles ont une composante humaine, en partie due à notre méthode de travail hybride. Il y a moins de contrôle social. De plus, selon le dernier Cost of a Data Breach une organisation peut mettre jusqu’à 204 jours pour découvrir qu’un pirate s’est introduit dans son système. Les attaques ne cessent d’évoluer, de sorte que la stratégie de sécurité doit aussi évoluer constamment.
- La surface d’attaque a également changé. Les utilisateurs sont omniprésents, ils consomment des applications de partout, qui sont elles-mêmes partagées entre des infrastructures propriétaires et le cloud. Le réseau traditionnel a changé et les nouvelles technologies ont introduit de nombreux points d’accès supplémentaires.
- Finalement, le nombre de notifications est tout simplement trop élevé. Les équipes informatiques font à leur ruïne à cause de cette avalanche de notifications. De plus, elles manquent souvent de connaissances informatiques pour distinguer les priorités. En théorie, des solutions avec des journaux et des notifications garantissent la transparence, mais il faut pouvoir interpréter les données et les associer à des actions.
Une approche globale
Pour rester debout, SecOps est de plus en plus essentiel. Commers rappelle la pertinence d’une suite complète. « Pour identifier les menaces, il faut examiner la surface d’attaque externe. Que trouve-t-on sur le dark web ? Les criminels enregistrent-ils de faux noms de domaine ? Ainsi, on obtient de manière proactive une idée des attaques à venir. »
Tout le monde connaît le pilier de la protection. « On y trouve la protection des points finaux, les pare-feux et le sandboxing, par exemple », explique Commers. « Cela inclut aussi une passerelle de messagerie sécurisée. Grâce à ces solutions, les menaces sont neutralisées avant qu’elles entrent dans l’entreprise. »
« En ce qui concerne le réseau, on pense tout de suite aux solutions NDR. Ensuite, il y a les outils EDR. On passe alors de la simple protection à la détection et à la réponse », explique Commers. Les abréviations signifient respectivement « Network » (réseau) et « Endpoint Detection and Response » (point final de détection et de réponse).
« Le cœur du problème est de construire un ensemble cohérent avec des solutions qui prennent en charge différents aspects de la sécurité globale », simplifie Commers. « Dans le meilleur des cas, ces solutions communiquent entre elles à travers leurs domaines. » Fortinet le fait : « Toutes les solutions travaillent ensemble et partagent des données sur les menaces. En outre, il faut un « single pane of glass » (un seul écran) donnant une vue d’ensemble via un tableau de bord unique. »
Attention au sapin de Noël
Commers hésite sur le rôle des solutions SIEM (« Security Information and Event Management ») et SOAR (« Security Orchestration Automation and Response »). « Ces solutions sont certainement utiles », dit-il. « Mais si l’équipe informatique est trop petite, le SIEM n’est qu’un pansement sur une jambe de bois. » Les notifications provenant de ces solutions sont alors trop nombreuses, et les tableaux de bord s’illuminent comme des sapins de Noël.
Si l’équipe informatique est trop petite, le SIEM est un pansement sur une jambe de bois.
Patrick Commers, Évangéliste en cybersécurité Fortinet
La solution peut être trouvée en dehors de l’équipe informatique de l’entreprise. « Depuis plusieurs années, les organisations recherchent l’externalisation de leur SOC (« Security Operations Centre ») », dit Commers. « Ce phénomène est très courant. Souvent, le rôle d’un tel SOC externe est de trier les notifications. Des spécialistes examinent les journaux et les alertes, et avertissent l’équipe informatique interne si quelque chose requiert leur attention. »
Un rôle pour l’IA
Une telle approche peut réduire radicalement le temps de détection d’une cyberattaque. Commers : « Les organisations veulent absolument investir dans ce domaine. L’automatisation, l’IA et l’apprentissage automatique peuvent aussi beaucoup aider à détecter les problèmes à partir de tous les journaux. Les solutions de sécurité font de plus en plus appel à l’IA, pour une bonne raison : la détection et la réponse peuvent se faire à la vitesse d’un algorithme dans certains cas. »
« En général, il faut réduire le temps de détection », souligne Commers. « Il est impératif de ne pas attendre l’intervention de l’homme autant que possible. Avec la technologie SOAR, par exemple, on peut automatiser les actions répétitives. » Dans la suite SecOps de Fortinet, grâce à l’automatisation et à l’IA, la détection, la réponse et la récupération peuvent se faire en partie automatiquement.
Fortinet elle-même a récemment ajouté l’IA générative à sa solution SecOps avec le Fortinet Advisor. Cet outil aide à interpréter les incidents et à en identifier les causes. Comme beaucoup d’outils, l’Advisor, ou le Conseiller, tente d’aider les équipes informatiques à prendre des mesures en temps voulu, malgré leurs capacités limitées. Le Fortinet Advisor est inclus dans les solutions SIEM et SOAR du fabricant, et devrait donc simplifier l’interprétation des logs et des notifications dans ces outils.
Des jours aux heures
Les chiffres prouvent qu’une approche SecOps intégrée est utile. Fortinet a elle-même examiné l’impact de cette approche en implémentant différents composants de sa propre suite chez des clients. Avant l’implémentation de SecOps, les clients de Fortinet mettaient environ 168 heures pour détecter une menace, 12 heures pour la contrôler, 6 heures pour les examiner et encore 12 heures pour corriger la situation. Un délai déjà bien inférieur à la moyenne indiquée dans le rapport Cost of a Data Breach, mais tout de même très largement suffisant pour qu’un pirate attaque et cause de sérieux ravages.
Après l’implémentation des solutions de la suite SecOps, le temps de détection est passé à moins d’une heure. « On obtient là, et de loin, le plus grand gain », reconnaît Commers. Le processus d’investigation et de récupération est également beaucoup plus rapide. Commers : Auparavant, ces étapes combinées prenaient environ dix-huit heures, alors qu’aujourd’hui, elles prennent dix minutes. Quelle énorme différence !
Marcher, puis courir
Faut-il donc tous adopter une approche SecOps ? Oui et non. « Le déploiement de SecOps est un voyage, pas un big bang », précise Commers. « Il faut savoir marcher avant de courir ». Commers recommande une chaîne d’étapes :
- En effet, commencez par la protection, via un pare-feu, une protection des applications et de la messagerie, entre autres ;
- Puis, identifiez les attaques sophistiquées grâce à l’apprentissage automatique et au sandboxing ;
- Ensuite, la protection des points finaux. Utilisez SASE pour cet aspect ;
- EDR, NDR et XDR ont une fonction de détection, mais aussi de réponse. Voilà où il est possible d’automatiser ;
- Maintenant, vous pouvez travailler dans plusieurs domaines et examiner les comportements. Il faut le SIEM et le SOAR et une vaste automatisation grâce à l’IA et à l’apprentissage automatique est possible ;
- Si vous ne parvenez pas à tout faire vous-même, il est possible d’externaliser certaines tâches.
« SecOps est bien plus qu’une simple protection », résume Commers. « Tout est lié, de l’identification à la protection, et de la détection à la réponse. SecOps dépasse donc la simple transmission de vos journaux à un SOC géré. Toutes les solutions de tous les domaines doivent interagir. C’est la seule manière de tirer réellement parti de l’IA et de l’apprentissage automatique, de détecter rapidement les problèmes et de déployer rapidement des solutions. »