L’éditeur américain de renseignements sur les menaces ThreatQuotient a publié son dernier rapport sur l’adoption de l’automatisation de la cybersécurité. Cela montre une tendance aux généralisations et aux observations sur la manière dont les RSSI relèvent les défis liés à l’entreprise étendue.
Les recherches de ThreatQuotient montrent que l’automatisation de la cyber-chaîne est en hausse. C’est le cas pour des tâches telles que l’auto-amélioration, le croisement de données et la validation post-mortem », affirme Cyrille Badeau, vice-président international de ThreatQuotient. Cependant, actuellement seuls 18 des 750 responsables de la cybersécurité interrogés disposent d’un tri automatisé des alertes, il faut donc encore patienter un peu. « C’est un domaine où l’on peut peut-être alléger la charge du contrôle manuel et de la priorisation… » s’étonne Cyrille Badeau.
Réalisée uniquement au niveau du Royaume-Uni dans l’édition précédente, l’enquête a été élargie cette année pour inclure les États-Unis et l’Australie, et la prochaine édition inclura les pays de l’Union européenne. « Ce qui est important, c’est le développement que nous avons mesuré à l’aide de recherches antérieures. Les différences entre les régions ne sont pas significatives, mais il y a une augmentation globale de la force en termes de maîtrise de l’automatisation, ou de maturité », explique Cyrille Badeau. Une enquête menée auprès du gouvernement, de la défense, des infrastructures critiques nationales, des détaillants ou des fournisseurs de services financiers a révélé que 98 répondants ont déclaré que leurs budgets d’automatisation augmentaient. De plus, bon nombre d’entre eux semblent utiliser les budgets d’autres ministères pour générer cette augmentation, 30 % semblant réaffecter les budgets d’embauche non alloués.
L’anticipation et la réaction : les 2 piliers de la cybersécurité
Pour les Vice-Présidents Internationaux, cette tendance s’explique « par la nécessité de faire plus vite et mieux » et se décompose en deux phases. Temps de détection (MTTD) et temps de réponse moyen (MTTR). Une approche jugée réactive. Au cours de la dernière décennie, de nombreuses organisations ont utilisé ces marqueurs pour mesurer les performances. La deuxième phase consiste à abandonner la première et à ajouter des attentes à votre stratégie de cybersécurité. Cette fois, il ne s’agit pas de pouvoir le trouver tout de suite, il s’agit de pouvoir agir avant la phase avant même qu’il ne soit attaqué. Et c’est là qu’intervient le management :
« Il a certainement conscience de l’existence d’ennemis, de techniques ou de méthodes grâce à sa détection, s’y intéresse dans le futur et consomme activement tout pour sa défense. C’est une question de ce que nous peut collecter en tant qu’intelligence connectée. Une fois l’attaquant arrivé, rassemblez toutes les informations que vous pouvez lui associer et trouvez des signes de compromission qui correspondent à son artillerie. Cette approche ThreatIntel vous permet d’anticiper et de voler le temps de l’ennemi avant même qu’il ne les utilise chez lui. explique Cyrille Badeau. Selon le rapport, les initiatives d’automatisation déjà en cours sont le plus souvent liées à la gestion des renseignements sur les menaces et à la réponse aux incidents (26,5 %), suivies de près par l’anti-hameçonnage (26 %) et les vulnérabilités (25 %).
Automatisation = sécurisation. Un amalgame à éviter
Certaines organisations sont aujourd’hui confrontées à certains défis lorsqu’elles veulent l’automatisation. D’une part, cela s’explique par l’hétérogénéité du parc. En effet, certaines organisations ont historiquement eu de nombreuses fonctions défensives bâties sur des outils différents, du fait de croissance externe ou de création de filiales. D’un autre côté, certaines personnes confondent sécurité et automatisation, donc
« Ce n’est pas une fonctionnalité de sécurité en soi. Elle ne se présente pas sur l’étagère avec sa part de processus prêts à l’emploi. d’autre part ! L’automatisation n’a de valeur que si vous savez exactement ce que vous voulez qu’elle fasse. Cela signifie que nous avons créé et mis en place un processus de sécurité et en avons transféré une partie sur la machine », corrige Cyrille Badeau. Enfin, un dernier point : les responsables de solutions/architectures de sécurité informatique de 37 ans sont les professionnels confrontés au plus grand nombre de problèmes d’adhésion des dirigeants (37 %) par rapport aux autres fonctions (19 %).
