Si la cybersécurité est en train de devenir une métrique de l’efficacité opérationnelle, comment quantifier l’efficacité réelle des contrôles de sécurité pour valider ces métriques et dégager des indicateurs fiables ? La réponse est sans doute une combinaison de l’intelligence humaine et artificielle.
Il fut un temps où l’efficacité d’une équipe de direction se mesurait à ses capacités commerciales et de croissance principalement. Mais aujourd’hui, et encore plus en cette période de crise, les critères entrant dans la mesure de l’efficacité opérationnelle se sont élargis. L’un des indicateurs essentiels, puisqu’il peut conditionner la survie même de l’entreprise, est la capacité à maîtriser les initiatives de protection des actifs de l’entreprise.
Voici que la cybersécurité, jadis une fonction IT, donc un attribut exclusif de l’IT, devient de plus en plus un attribut stratégique, un problème de préservation des acquis de l’entreprise et de sa résilience. C’est là que se niche un hiatus selon une étude menée par FireEye sur la cyberefficacité comme mesure de l’efficacité opérationnelle. Car, si les entreprises commencent à traiter le cyberrisque comme un problème métier à part entière, elles continuent aussi à traiter la sécurité comme une fonction IT.
« Cette dynamique met en lumière le décalage entre des équipes IT responsables de l’infrastructure d’une part, et des équipes de sécurité chargées des contrôles et processus de cybersécurité d’autre part, explique le rapport. D’après nos experts, cette dissonance accroît la pression sur des équipes de sécurité à qui l’on demande d’apporter des preuves tangibles de leur efficacité ». Mais comment mesure-t-on l’efficacité cybersécuritaire ?
Les RSSI sur le grill de l’efficacité
Les responsables de la sécurité doivent être en mesure de répondre avec confiance à des questions pressantes. Quelle est l’efficacité de mes contrôles de sécurité ? En combien de temps puis-je évaluer la pertinence du renseignement sur les menaces ou mon exposition à une attaque probable ? Dans quelle mesure est-il possible d’empêcher les fuites de données et garantir l’intégrité des données ? Quelles preuves puis-je fournir à mes dirigeants en ce qui concerne les mesures de sécurité clés ? Les outils de test et de validation apportent une première réponse, mais les défis liés à des architectures de plus en plus complexes et mouvantes, nécessitent une évolution constante des programmes de sécurité.
« Les équipes de sécurité ont besoin d’un moyen de mesurer et de surveiller en permanence les contrôles afin de recueillir des preuves quantitatives des lacunes en matière de sécurité, de manière à pouvoir démontrer avec preuves à l’appui la capacité de réduire les risques et d’améliorer la posture générale de l’organisation en matière de sécurité », explique le rapport.
Un écart entre les capacités attendues et les résultats mesurés
De nombreuses organisations obtiennent des résultats inférieurs aux niveaux d’efficacité prévus. Selon FireEye, elles constatent un écart entre leurs capacités attendues et les résultats mesurés. En moyenne, elles ne détectent que 26 % des attaques et en préviennent 33 %. « Il est alarmant de constater que les alertes ne sont générées que pour 9 % des attaques », s’inquiète le rédacteur du rapport.
FireEye fonde cette conclusion sur l’analyse des mécanismes de milliers d’attaques, exécutées dans des environnements de production supportant plus de 900 millions de consommateurs, et contre 123 technologies de sécurité leaders du marché, telles que les solutions de réseau, de messagerie, de points d’accès et de cloud. Les experts en sécurité de l’éditeur ont ainsi trouvé que les outils de sécurité fonctionnent différemment d’un environnement à l’autre, que la taille d’une organisation n’est pas en corrélation avec l’efficacité de la sécurité, et qu’il existe un décalage entre les hypothèses, les attentes et les la réalité lorsqu’on compare l’efficacité de la capacité d’alerte des organisations et leurs capacités de détection et de blocage des menaces.
L’IA pour combler le vide entre l’attendu et le mesuré
D’après les experts de FireEye, il existe un ensemble d’initiatives qui permettent de couvrir les domaines allant de la reconnaissance (d’une attaque) aux mouvements latéraux. Le cadre Mitre ATT&CK (AdversarialTactics, Techniques & Common Knowledge) est devenu, selon eux, une ressource clé pour les équipes de sécurité. Les équipes de sécurité peuvent s’appuyer sur ATT&CK pour évaluer les lacunes de leurs défenses et découvrir ce qui doit être amélioré.
Par ailleurs, il convient d’agir sur les outils déployés et la configuration des outils de sécurité. Ces derniers sont souvent configurés pour répondre à ces défis, mais ils peuvent être mal optimisés. Les raisons les plus courantes d’une mauvaise optimisation sont les suivantes selon FireEye :
- un déploiement dans des configurations « prêtes à l’emploi » par défaut,
- le manque de ressources pour régler et affiner le post-déploiement,
- les événements liés à la sécurité n’arrivent pas jusqu’au SIEM,
- l’incapacité à imposer des tests de contrôle,
- les changements ou glissements inattendus dans l’infrastructure sous-jacente.
La conclusion qu’on peut tirer de cet état de fait est que par définition ce combat sans fin ne peut être gagné une bonne fois pour toutes. Tels des Sisyphe, les RSSI semblent condamnés à pousser encore et encore le rocher de la sécurité sur les pentes escarpées des tests et de la validation.
Mais une solution se profile à l’horizon : l’intelligence artificielle. Elle n’éliminera certainement pas les menaces, car l’ingéniosité des cybermalfaiteurs est sans fin aussi, mais elle allègera le poids du « rocher ». « Une cybersécurité efficace nécessite la mise en œuvre d’une plate-forme d’entreprise qui automatise les éléments fondamentaux de la validation continue de la sécurité afin de maintenir une forte posture défensive et de réduire les risques de manière proactive », concluent les experts de FireEye.
