La pandémie du Covid-19 touche chaque pays, citoyen et entreprise de manière différente, mais tous tentent de traverser cette épreuve inédite de façon à limiter les dommages collatéraux pour l’avenir. La majorité des entreprises tentent tant bien que mal de garder leurs activités à flot et certaines misent même leur réussite future sur leur transformation numérique. Pour autant, considérées comme la pierre angulaire du succès de la transformation numérique, en quoi l’automatisation et l’orchestration sont-elles aujourd’hui l’un des plus grands enjeux de demain ? De quelle manière les équipes InfoSec apportent-elles leur pierre à l’édifice ? Éléments de réponses.
Covid-19 et transformation numérique, les équipes InfoSec prennent du galon !
Depuis le début de la pandémie, les équipes InfoSec sont aux premières loges pour la prise de décisions stratégiques et particulièrement celles concernant les projets de transformation numérique pour assurer le maintien de leur activité. Toutefois, ces équipes font aujourd’hui face à des difficultés qui étaient jusqu’alors quasi inexistantes. Le brusque passage des employés en télétravail a, en effet, considérablement changé leur quotidien et complexifié leur mission au sein de l’entreprise.
De l’allongement de la liste des tickets de services à la mise à niveau de l’infrastructure, en passant par la gestion de l’information et des événements de sécurité, chaque jour, des dizaines de milliers d’alertes de sécurité sont traitées par les équipes InfoSec. Elles sont ainsi plus que jamais sollicitées et jouent un rôle indispensable dans le maintien de l’activité de toute entreprise. De surcroit, la plupart d’entre elles effectuent en parallèle des tâches manuelles qui pourraient facilement être automatisées.
Entre faux positifs et perte de productivité
Tout type d'enquête découlant d'un événement (sécurité ou réseau) nécessite une intervention humaine pour envoyer une copie du trafic d'intérêt vers un outil qui peut fournir un contexte détaillé afin de trouver la cause profonde et une solution potentielle.
Ces événements peuvent aller d'une page de serveur qui se charge lentement à un utilisateur qui tente d'accéder à une base de données dont l’accès est restreint, en passant par un équipement qui se connecte à un serveur DNS malveillant. Les incidents sont généralement observés sur les outils de surveillance des applications, les SIEM (Gestion de l'information et des événements de sécurité) et le pare-feu informatique. Bien que certaines de ces solutions aient la capacité de signaler ces événements, le temps nécessaire pour filtrer les faux positifs et extraire le trafic nécessaire à un outil d'investigation est bien trop important.
Ainsi, lorsque le SOC (centre opérationnel de sécurité) reçoit une alerte de l'un de ses outils SIEM, EDR ou NDR indiquant qu'un événement s'est produit et qu’il doit être examiné, à ce stade, l'ingénieur en sécurité examine l'alerte, la qualifie et y répond en fonction de la gravité et du type d'événement. Pour une anomalie présentant un risque élevé, la phase de qualification implique généralement de creuser la menace, de trouver la source de l'événement et d'effectuer une analyse plus approfondie. Certains faux positifs se produisent également au cours de ce processus, ce qui entraîne une perte de productivité pour l'équipe chargée des opérations de sécurité.
Multiples possibilités pour un même résultat
C’est ici qu’entre en jeu l'automatisation et l’orchestration. Il existe de multiples façons de mettre en œuvre l'automatisation dans les opérations de sécurité ou de réseau. La plupart d'entre elles reposent sur quelques exigences importantes. Dans un premier temps, il est essentiel que les outils impliqués dans l'automatisation du processus de réponse et d'analyse des menaces aient la capacité de s'intégrer les uns aux autres. Le SIEM, la matrice de visibilité, le moteur d'orchestration et l'outil de capture du trafic doivent communiquer entre eux afin que les actions appropriées soient transférées et déclenchées en fonction du flux d'automatisation. Dans un second temps, un ensemble standard d'API (comme REST) pour exécuter certaines fonctions qui modifient ou créent une nouvelle configuration dans les outils est la méthode la plus rapide et la plus efficace lorsqu'il s'agit de scripts et de cadres d'automatisation.
Aujourd’hui, investir dans l’automatisation et l’orchestration garantit aux entreprises le succès de leur transformation numérique mais représente également une importante valeur ajoutée pour les équipes InfoSec qui gagneront indéniablement en temps et productivité.
Par Yann Samama, Senior Sales Engineer chez Gigamon