Face à ces menaces, il est essentiel que les défenseurs mettent également à profit ces technologies afin de protéger les systèmes et les données contre des incursions indésirables. En effet, les systèmes de cybersécurité et de défense traditionnels sont confrontés à de multiples difficultés pour contrer les attaques et y remédier rapidement. C’est pourquoi de nouveaux modèles de détection, de réponse et de remédiation voient le jour et qui tirent pleinement parti de capacités d’automatisation. Combinées avec l’intelligence humaine et les aptitudes d’experts de la cybersécurité, elles permettent d’offrir aux entreprises des solutions complètes et rapides, améliorent l’efficacité opérationnelle des équipes de sécurité, tout en simplifiant et en renforçant la protection.
Les plateformes de sécurité complètes et automatisées sont en plein essor
Les entreprises actuelles sont actuellement réparties entre des endpoints physiques, virtuels, numériques, cloud, ou encore en périphérie des réseaux. Les couches à protéger sont à la fois diverses et multiples et il est important que les données soient protégées à tous les niveaux. Pour ce faire, il existe de nombreuses solutions, des pare-feux aux protections réseau, en passant par les logiciels de détection et de monitoring. Toutes ces solutions collectent un ensemble d’informations de sécurité variées et disparates qui doivent être rassemblées et traitées au niveau d’une plateforme centralisée.Cette plateforme doit bénéficier d’un data lake où sont rassemblées ces multiples données remontées via des connecteurs à partir des multiples solutions disparates. Les myriades d’événements de sécurité ainsi détectés et remontés grâce à la télémétrie peuvent être réduites à quelques alertes grâce à des règles de discrimination automatisées qui établissent des corrélations beaucoup plus rapidement et efficacement que le permettrait un système dispersé ou des processus manuels. De plus, la plupart des solutions actuelles de gestion de détection et de réponse aux menaces (MDR) se contentent de détecter et de signaler les événements sans permettre aux personnels de sécurité internes ou aux experts externes – en cas de solution managée – de remédier au problème à temps pour minimiser les risques.
L’automatisation au service de l’humain
Une telle solution permet également d’économiser un temps précieux pour ne traiter que les alertes de sécurité sérieuses et de réduire le temps de remédiation au sein des solutions de gestion de la détection et de la réponse aux menaces (MDR). De plus, la plupart des solutions MDR aujourd’hui se contentent de détecter et de signaler les événements sans permettre aux personnels de sécurité internes ou aux experts externes – en cas de solution managée – de remédier au problème à temps. Selon Gartner, le temps médian d’une remédiation à une alerte de sécurité se situe entre 3 et 16 heures. Or, grâce à l’automatisation des processus, cette durée peut être réduite à quelques minutes, minimisant ainsi les risques et favorisant une reprise d’activité rapide en cas d’attaque.De plus, grâce aux corrélations et au traitement automatisés des événements remontés via la télémétrie, le volume des alertes que les experts de la cybersécurité doivent traiter se trouve réduit de plus de 99 %, permettant ainsi aux défenseurs de se consacrer aux seules alertes pertinentes. Ce gain de temps donne aux entreprises les moyens de faire face à la pénurie de talents compétents dans ce domaine et de réduire les coûts de sécurisation de leurs systèmes. Ainsi, l’automatisation vient compléter les lacunes et se positionne au service de l’humain afin de renforcer l’efficacité et la rapidité des solutions de sécurité.
Les entreprises actuelles ont donc intérêt à se reposer sur des solutions automatisées qui leur offrent une vision holistique de l’état de leur sécurité en se reposant sur une plateforme centralisée dotée de multiples connecteurs. Cette automatisation permet non seulement de remédier réellement et beaucoup plus rapidement aux alertes de sécurité, tout en offrant un gain de temps aux experts, qui peuvent ainsi se concentrer exclusivement sur les menaces réelles afin de mieux protéger les données et les systèmes de l’entreprise.
Par Emmanuel Gosselin, directeur des ventes de Sophos France