Approche SecOps intégrée : la sécurité, c'est plus que de la prévention !

Les organisations veulent se protéger au mieux contre les cybermenaces, mais trop souvent, elles limitent leur action à la protection. Les autres étapes clés passent à l’arrière-plan. Voilà l’intérêt d’une approche SecOps intégrée.

La sécurité optimale ne consiste pas en un seul bon pare-feu ou en une seule excellente solution pour les points finaux. Le Cyberfundamentals framework du CCB définit la sécurité comme étant la même chose que le NIST aux États-Unis : une maison sécurisée repose sur cinq piliers : Identifier, Protéger, Détecter, Répondre et Récupérer.

« Trop souvent, on met l’accent sur la seule protection », explique Patrick Commers, Évangéliste en cybersécurité chez Fortinet Belgique. Et les organisations dépendent encore souvent de solutions ponctuelles. « Ces organisations croulent sous une multitude de journaux, d’alertes et de données. Elles sont sécurisées, mais les équipes informatiques sont surchargées et ne peuvent pas répondre aux alertes des solutions de sécurité. »

SecOps : plus que la protection

Selon lui, la solution réside dans les opérations de sécurité ou SecOps. « SecOps comprend les quatre premiers piliers du framework et donc pas seulement la protection », sait Commers. De plus, l’approche est intégrée. Une bonne protection est liée aux capacités de détection et à la capacité d’agir efficacement en cas de détection. Commers pense que trois défis majeurs poussent les organisations à adopter une approche SecOps :

Les attaques sont de plus en plus sophistiquées. Selon le rapport Verizon 2023 Data Breach Investigations Report, 74 % d’entre elles ont une composante humaine, en partie due à notre méthode de travail hybride. Il y a moins de contrôle social. De plus, selon le dernier Cost of a Data Breach une organisation peut mettre jusqu’à 204 jours pour découvrir qu’un pirate s’est introduit dans son système. Les attaques ne cessent d’évoluer, de sorte que la stratégie de sécurité doit aussi évoluer constamment.
La surface d’attaque a également changé. Les utilisateurs sont omniprésents, ils consomment des applications de partout, qui sont elles-mêmes partagées entre des infrastructures propriétaires et le cloud. Le réseau traditionnel a changé et les nouvelles technologies ont introduit de nombreux points d’accès supplémentaires.
Finalement, le nombre de notifications est tout simplement trop élevé. Les équipes informatiques font à leur ruïne à cause de cette avalanche de notifications. De plus, elles manquent souvent de connaissances informatiques pour distinguer les priorités. En théorie, des solutions avec des journaux et des notifications garantissent la transparence, mais il faut pouvoir interpréter les données et les associer à des actions.

Une approche globale

Pour rester debout, SecOps est de plus en plus essentiel. Commers rappelle la pertinence d’une suite complète. « Pour identifier les menaces, il faut examiner la surface d’attaque externe. Que trouve-t-on sur le dark web ? Les criminels enregistrent-ils de faux noms de domaine ? Ainsi, on obtient de manière proactive une idée des attaques à venir. »

Tout le monde connaît le pilier de la protection. « On y trouve la protection des points finaux, les pare-feux et le sandboxing, par exemple », explique Commers. « Cela inclut aussi une passerelle de messagerie sécurisée. Grâce à ces solutions, les menaces sont neutralisées avant qu’elles entrent dans l’entreprise. »

« En ce qui concerne le réseau, on pense tout de suite aux solutions NDR. Ensuite, il y a les outils EDR. On passe alors de la simple protection à la détection et à la réponse », explique Commers. Les abréviations signifient respectivement « Network » (réseau) et « Endpoint Detection and Response » (point final de détection et de réponse).

« Le cœur du problème est de construire un ensemble cohérent avec des solutions qui prennent en charge différents aspects de la sécurité globale », simplifie Commers. « Dans le meilleur des cas, ces solutions communiquent entre elles à travers leurs domaines. » Fortinet le fait : « Toutes les solutions travaillent ensemble et partagent des données sur les menaces. En outre, il faut un « single pane of glass » (un seul écran) donnant une vue d’ensemble via un tableau de bord unique. »

Attention au sapin de Noël

Commers hésite sur le rôle des solutions SIEM (« Security Information and Event Management ») et SOAR (« Security Orchestration Automation and Response »). « Ces solutions sont certainement utiles », dit-il. « Mais si l’équipe informatique est trop petite, le SIEM n’est qu’un pansement sur une jambe de bois. » Les notifications provenant de ces solutions sont alors trop nombreuses, et les tableaux de bord s’illuminent comme des sapins de Noël.

Si l’équipe informatique est trop petite, le SIEM est un pansement sur une jambe de bois.
Patrick Commers, Évangéliste en cybersécurité Fortinet

La solution peut être trouvée en dehors de l’équipe informatique de l’entreprise. « Depuis plusieurs années, les organisations recherchent l’externalisation de leur SOC (« Security Operations Centre ») », dit Commers. « Ce phénomène est très courant. Souvent, le rôle d’un tel SOC externe est de trier les notifications. Des spécialistes examinent les journaux et les alertes, et avertissent l’équipe informatique interne si quelque chose requiert leur attention. »

Un rôle pour l’IA

Une telle approche peut réduire radicalement le temps de détection d’une cyberattaque. Commers : « Les organisations veulent absolument investir dans ce domaine. L’automatisation, l’IA et l’apprentissage automatique peuvent aussi beaucoup aider à détecter les problèmes à partir de tous les journaux. Les solutions de sécurité font de plus en plus appel à l’IA, pour une bonne raison : la détection et la réponse peuvent se faire à la vitesse d’un algorithme dans certains cas. »

« En général, il faut réduire le temps de détection », souligne Commers. « Il est impératif de ne pas attendre l’intervention de l’homme autant que possible. Avec la technologie SOAR, par exemple, on peut automatiser les actions répétitives. » Dans la suite SecOps de Fortinet, grâce à l’automatisation et à l’IA, la détection, la réponse et la récupération peuvent se faire en partie automatiquement.

Fortinet elle-même a récemment ajouté l’IA générative à sa solution SecOps avec le Fortinet Advisor. Cet outil aide à interpréter les incidents et à en identifier les causes. Comme beaucoup d’outils, l’Advisor, ou le Conseiller, tente d’aider les équipes informatiques à prendre des mesures en temps voulu, malgré leurs capacités limitées. Le Fortinet Advisor est inclus dans les solutions SIEM et SOAR du fabricant, et devrait donc simplifier l’interprétation des logs et des notifications dans ces outils.

Des jours aux heures

Les chiffres prouvent qu’une approche SecOps intégrée est utile. Fortinet a elle-même examiné l’impact de cette approche en implémentant différents composants de sa propre suite chez des clients. Avant l’implémentation de SecOps, les clients de Fortinet mettaient environ 168 heures pour détecter une menace, 12 heures pour la contrôler, 6 heures pour les examiner et encore 12 heures pour corriger la situation. Un délai déjà bien inférieur à la moyenne indiquée dans le rapport Cost of a Data Breach, mais tout de même très largement suffisant pour qu’un pirate attaque et cause de sérieux ravages.

Après l’implémentation des solutions de la suite SecOps, le temps de détection est passé à moins d’une heure. « On obtient là, et de loin, le plus grand gain », reconnaît Commers. Le processus d’investigation et de récupération est également beaucoup plus rapide. Commers : Auparavant, ces étapes combinées prenaient environ dix-huit heures, alors qu’aujourd’hui, elles prennent dix minutes. Quelle énorme différence !

Marcher, puis courir

Faut-il donc tous adopter une approche SecOps ? Oui et non. « Le déploiement de SecOps est un voyage, pas un big bang », précise Commers. « Il faut savoir marcher avant de courir ». Commers recommande une chaîne d’étapes :

En effet, commencez par la protection, via un pare-feu, une protection des applications et de la messagerie, entre autres ;
Puis, identifiez les attaques sophistiquées grâce à l’apprentissage automatique et au sandboxing ;
Ensuite, la protection des points finaux. Utilisez SASE pour cet aspect ;
EDR, NDR et XDR ont une fonction de détection, mais aussi de réponse. Voilà où il est possible d’automatiser ;
Maintenant, vous pouvez travailler dans plusieurs domaines et examiner les comportements. Il faut le SIEM et le SOAR et une vaste automatisation grâce à l’IA et à l’apprentissage automatique est possible ;
Si vous ne parvenez pas à tout faire vous-même, il est possible d’externaliser certaines tâches.

« SecOps est bien plus qu’une simple protection », résume Commers. « Tout est lié, de l’identification à la protection, et de la détection à la réponse. SecOps dépasse donc la simple transmission de vos journaux à un SOC géré. Toutes les solutions de tous les domaines doivent interagir. C’est la seule manière de tirer réellement parti de l’IA et de l’apprentissage automatique, de détecter rapidement les problèmes et de déployer rapidement des solutions. »

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.

Approche SecOps intégrée : la sécurité, c’est plus que de la prévention !