Par Barbara Kay, CISSP 1, Senior Director of Security Product Marketing chez ExtraHop.

Le fossé entre compétences et besoins en cybersécurité ne fait que s’élargir - et rien ne permet de penser qu’il va bientôt se combler.

Un récent sondage du SANS Institute, parrainé par ExtraHop, a montré que 62% des membres du personnel du Centre Opérationnel de Sécurité, le SOC, pensaient que le manque de personnel qualifié était le problème le plus urgent à régler.

L’enquête annuelle ESG sur la situation de la High Tech a interrogé 620 professionnels de la IT en Europe de l’Ouest et aux États-Unis. Il apparaît que la « pénurie problématique » de cyber-compétences est chaque année la question majeure à laquelle les organisations doivent faire face. Ce qui est peut-être encore plus urgent, c’est que l’écart a très largement augmenté en importance. En 2014, seuls 23% des répondants signalaient une telle pénurie. En 2018, ce sont 51% des personnes interrogées qui la qualifiaient de déficit préoccupant.

Certes, de nombreux événements sont survenus depuis 2014. Après quelques milliers de violations de sécurité, la cybersécurité est passée d'une préoccupation relativement faible relevant du service informatique à un sujet majeur au niveau de la direction en raison des risques pesant sur la totalité de l’activité.

Beaucoup voudraient travailler mais n’ont ni les compétences, ni l'expérience exigées à ces postes par les entreprises. Il semble que l’on ne puisse pas former, ni fournir assez rapidement l’expérience nécessaire à un nombre suffisant de candidats motivés pour répondre à la croissance astronomique de la demande du secteur.

Construire un pont entre compétences et besoins

L’investigation automatisée au sein du SOC pourrait constituer ce pont dont les entreprises ont besoin. Elle permet non seulement d'éviter la zone importante liée aux erreurs humaines, mais elle réduit également la double dépendance à l'expérience humaine et au délai. Un bon nombre de processus, étaient auparavant considérés comme relevant des compétences traditionnelles hautement spécialisées et nécessaires aux professionnels expérimentés en cybersécurité. Ils peuvent désormais être automatisés au cours des processus de collecte de données, de surveillance et de réaction aux incidents.

L'automatisation utilise les connaissances et les formalise en pratiques répétables, prévisibles, précises, 24/24h, 7/7j. Elle supprime les tâches fastidieuses et les incertitudes par la compilation des preuves, nécessaires pour le tri, les remontées et les dispositions à prendre. Ainsi, en laissant les machines gérer des tâches de sécurité importantes mais structurées telles que la collecte, la hiérarchisation et la corrélation de données, le SOC peut orienter l’activité de ses ressources humaines vers le puzzle créatif que nécessitent les investigations non structurées.

Former une nouvelle génération d'analystes

L’abaissement spectaculaire de la barre de l’automatisation réduit la charge de travail des analystes et soulage les candidats des lourdes exigences des entreprises envers les cyber-postes. En automatisant la plupart des processus gourmands en temps et en compétences qui entrent dans un SOC, les organisations peuvent se concentrer sur ce qu'elles demandent à chaque analyste.

  • Elles peuvent former des analystes débutants à valider et enquêter sur des incidents en se basant sur des détails contextuels pertinents, organisés pour faciliter la compréhension.
  • Elles peuvent réduire les remontées au niveau 2 et optimiser l'attribution de remontées aux experts compétents grâce à une caractérisation plus précise de l'incident.
  • Elles peuvent indiquer aux analystes de niveau 3, les activités confirmées à risque élevé comme point de départ des recherches et des investigations.

Minimiser les tâches fastidieuses, maximiser l'expertise

Aujourd’hui, la plupart des tâches demandées aux professionnels de la sécurité sont un parfait gaspillage de leur talent. Une plate-forme ordinaire émet un déluge d'alertes - 5 000 par jour - et bien plus que ce que quiconque, quelle que soit son expérience, peut gérer.

L'application de l'apprentissage automatique (machine learning) et du tri fondé sur les risques peut aider à concentrer l'attention là où elle est le plus nécessaire, en permettant que les événements mineurs ne soient pas au même niveau de priorité et sortis de la file principale. L'apprentissage automatique aide les systèmes à s'adapter plus efficacement que les systèmes reposant sur des règles. La hiérarchisation des investigations en fonction de la valeur des actifs - périphériques, bases de données et groupes de services - est également un processus de productivité nécessaire. Les entreprises ne peuvent tout simplement pas passer du temps sur chaque incident potentiel. Elles en ignorent certains. Et le mieux est évidemment d’ignorer ceux qui ont le moins d’impact sur les activités.

L'automatisation du filtrage et de la hiérarchisation des incidents résiduels peut avoir un effet multiplicateur. Elle augmente la résolution de la vision du SOC, permettant ainsi aux analystes d’accorder une plus grande attention aux événements les plus préoccupants et dont les risques sont les plus élevés. Plus important encore, ces alertes peuvent être rendues intelligibles et remises dans leur contexte en les liant à des données transactionnelles et forensiques.

En utilisant ces données structurées et analysées par la machine, les membres les moins expérimentés de l’équipe SOC peuvent rapidement valider une alerte pour soit l’éliminer, soit la faire remonter afin que l'analyse de niveau 2 reconstitue rapidement une campagne d'attaque et en comprenne la portée. Le jugement humain reste extrêmement précieux, mais il ne s’utilise qu’à bon escient, au lieu d’être gaspillé dans l’exécution de tâches pouvant être réalisées par des ordinateurs.

Les technologies modernes réduisent aussi le nombre d'emplacements et d'étapes d’une analyse en remplaçant par des données parfaitement structurées des sources de données partielles et qui ne sont pas en temps réel ou liées à des règles de corrélation. La consolidation des outils et les flux de travail intégrés fournissent une image plus étendue et plus utile du réseau, dans un environnement cohérent. Les analystes ont une idée plus précise de ce qui se passe sur le réseau sans avoir à se soucier du nettoyage et du formatage des données pour l'analyse ou de la création et de la maintenance de règles pour la gestion des données. Cela réduit la charge de la manipulation des données pour les experts et permet aux analystes moins expérimentés d’accéder directement à des données intelligibles et exploitables. La cartographie du réseau par exemple, fournit aux nouveaux arrivants une vue plus facilement compréhensible et à jour qui serait sans cela hors de leur portée. Voir l’ensemble des interactions qui représentent une transaction, c’est comme regarder une vidéo haute résolution plutôt que consulter un tas de photos prises par plusieurs personnes à des moments différents.

Réduire les démarches inutiles augmente de facto l'expertise utile des professionnels de la sécurité. Cela leur permet de jouer un rôle stratégique avec les machines qui éteignent le feu, jour après jour, et les professionnels qui analysent, organisent et planifient sur le long terme pour conserver une longueur d’avance sur les attaquants. L’employeur tire le meilleur parti de son équipe de sécurité en laissant à chacun le temps d’utiliser les compétences et les facultés que seul un analyste humain peut fournir.

La nouvelle génération d’analystes de sécurité est peut-être plus proche qu’on ne le croit

Alors que les entreprises se concentrent davantage sur la sécurité comme étant au cœur même de l’activité, « recruter » en interne, auprès des équipes informatiques, peut être plus judicieux que recruter à l'extérieur. Les employés internes connaissent déjà l’activité et apportent une précieuse expertise technique et des processus métiers à la fonction de sécurité, améliorant ainsi la sécurité à plusieurs niveaux (conception, politique, processus, intégrations, transferts, pour n'en nommer que quelques-uns). En outre, ce nouveau type de parcours réduit le turnover offre un développement de carrière et un défi professionnel aux employés.

Même le travail d'une équipe temporaire ou des rotations peuvent faire la différence en élevant la connaissance de la sécurité à l'échelle de l'entreprise, tout en améliorant l'efficacité de la gestion des incidents. Les équipes Sécurité et IT peuvent échanger des idées et s’enrichir mutuellement sur les priorités de l’entreprise. Elles peuvent identifier plus de moyens et de meilleurs moyens pour lier les processus et les politiques grâce à leur intégration. Quand ils reprennent leur travail quotidien, les personnels du data center, des postes terminaux ou du centre d’opérations du réseau profitent grandement des nouvelles connaissances acquises sur les considérations cyber de l’entreprise. Dans le même temps, les équipes de sécurité comprennent mieux le « quoi, pourquoi, comment ? » des priorités et des systèmes des autres équipes et mettent mieux en œuvre les flux de travail et les recommandations de sécurité.

L'automatisation change la donne

L'automatisation de la cybersécurité contourne les processus manuels qui stagnent dans de nombreuses organisations. Ces processus sont difficiles à faire évoluer sur de grands réseaux informatiques et sont de moins en moins compatibles avec la rapidité, le volume et la complexité des menaces actuelles.

D’ores et déjà, les entreprises se tournent vers l’automatisation et l’analyse avancée afin de répondre à leurs besoins de sécurité malgré la pénurie de profils dédiés.

L’automatisation est souvent qualifiée de destructrice d’emplois, en remplaçant les professionnels expérimentés par des machines performantes. Mais quand il s’agit de cybersécurité, les méthodes d’automatisation des tâches restent la seule façon d’utiliser au mieux des ressources limitées. Leur efficacité et leurs connaissances intégrées créent également plus d'opportunités pour les candidats et aident les entreprises à réduire l’étendue des compétences de sécurité dont elles ont besoin. De plus, des opérations de sécurité plus légères, plus souples et plus rapides produites par l'automatisation, créeront une distribution plus efficace des ressources. Personne ne prédit que le travail deviendra plus facile ou plus ennuyeux. Accorder une part plus large à la technologie permettra à chaque niveau d’analyste d’éliminer les tâches subalternes. Celui-ci pourra alors se consacrer au rôle essentiel et le plus gratifiant : arrêter et minimiser les cyber-incidents afin d’en réduire les perturbations, le coût et la pénibilité.

1 Certified Information Systems Security Professional - La certification CISSP concerne les professionnels experts de la sécurité informatique et réseaux.