« Dans le monde numérique actuel, les failles restent inévitables : ce qui compte, c'est la façon dont on y réagit. » C’est cette philosophie que les entreprises les plus matures ont choisi d’adopter depuis plusieurs années en matière de sécurité. Une philosophie qui ne s’est répandue plus largement que récemment, conduisant les organisations à se concentrer sur la détection et la réponse aux menaces via la création de centres opérationnels de sécurité (SOC). Toutefois, si la promesse est belle, la réalité peut être toute autre. En effet, sans les outils adéquats, les analystes SecOps (équipe de sécurité opérationnelle) internes ou externes au SOC se retrouvent soumis à une pression extrême impactant la productivité, le sentiment d’accomplissement professionnel, voire même parfois la santé mentale des équipes.
Dans un contexte où la sécurité des Systèmes d’Informations fait partie des enjeux majeurs des entreprises, comment mettre en place un bon équilibre entre les solutions et l’humain sans qu’aucune des parties prenantes ne soit lésée ?
Le périmètre est mort
Les nouvelles techniques d'attaques furtives ont rendu caduques les approches traditionnelles de la sécurité. Il est en effet devenu impossible et contre-productif de mettre en place une sécurité périmétrique du réseau de l’entreprise quand les attaquants peuvent y pénétre par le biais d'informations d'identification usurpées, hameçonnées ou piratées. Il suffit de jeter un coup d'œil aux marketplaces les plus populaires du dark web pour constater que de nombreux identifiants volés sont aujourd’hui à portée de main. Une fois à l'intérieur du réseau, les hackers utilisent des outils légaux tels que Cobalt Strike, PSExec et Mimikatz pour rester sous le radar tout en se déplaçant latéralement, complexifiant ainsi leur détection par les systèmes de sécurité traditionnels.
L'ancien modèle de sécurité périmétrique a également dépassé sa date de péremption. Le périmètre lui-même, tel que nous le connaissions, a disparu depuis longtemps. Aujourd'hui, il englobe un environnement distribué de endpoints distants, d'applications et d'infrastructures Cloud, d'appareils IoT, etc. Il est désormais fluide et poreux et s'étend bien au-delà des limites du réseau traditionnel. Avec la massification du télétravail, le facteur humain vient amplifier ce risque. Les collaborateurs sont potentiellement moins vigilants et travaillent sur des appareils susceptibles d’être moins sécurisés qu'ils partagent avec d’autres membres du foyer. Les comportements à risque en home office augmentent de fait la probabilité que les identifiants de connexion professionnels se retrouvent commercialisés sur le dark web.
Noyés dans la masse des alertes
Ces facteurs ont mis l'accent sur l’importance de la détection et de la réponse aux menaces pour les entreprises, et notamment le quotidien des équipes SecOps. Toutefois, que le service sécurité traditionnel s’appuie sur un SOC ou sur une équipe de spécialistes, un problème persiste : les organisations ont accumulé un trop grand nombre d'outils de sécurité au cours des dernières années, générant de facto une surcharge d’alertes. A moins d’être régulièrement ajustés par des experts, les SIEM ne parviennent donc pas toujours à s’y retrouver.
De cet alerting incessant nait une forme de crispation au niveau des équipes SecOps. Plus de la moitié (51%) reconnait ainsi être complètement noyée par le volume d’alertes à gérer au quotidien et admettre ne pas avoir confiance dans leur capacité à les hiérarchiser, voire à y répondre (55%). Rien d’étonnant au fait que les équipes soient sous pression à cause du stress généré, allant parfois jusqu’à impacter leur vie sociale.
Par ailleurs, sous la pression des alertes, les équipes prennent certaines décisions susceptibles de mettre en péril la sécurité de l’entreprise. Dans les cas les plus extrêmes, certaines reconnaissent les avoir parfois ignorées, voire complètement désactivées. Dans ce contexte, quelle garantie de protection pour l’entreprise ? Et comment répondre en cas d’attaque ? De plus en plus confrontées à de nouvelles formes de ransomwares, les organisations ont souvent tendance à payer la rançon, pensant être rapidement tranquille et reprendre la main sur leurs actifs. Toutefois, ce n’est pas parce qu’elles paient que le risque est écarté. Au contraire, de récentes études suggèrent que les groupes de hackers tiennent de moins en moins leur promesse de ne pas divulguer les données dérobées une fois que la victime les a payées.
Ainsi, confrontées à la multiplicité des outils de sécurité, les équipes SecOps ne savent parfois plus où donner de la tête. Bénéficier d’une visibilité centralisée permettant de hiérarchiser et corréler les alertes entre les différentes couches de l'infrastructure informatique est devenu une vraie nécessité. En procédant ainsi pour la messagerie, les réseaux, les instances Cloud et les endpoints, elles pourraient être plus productives et ne se concentrer que sur les signaux importants.
Pour les équipes SecOps, un monde dans lequel les menaces pourraient être repérées très rapidement avant même qu'elles n'aient une chance d'impacter l'organisation constitue une promesse forte. L’investissement des entreprises dans une approche plus consolidée de la sécurité leur permettrait de stimuler l’innovation et la croissance. Faire le choix des avantages de la technologie au profit de l’efficacité et du bien-être des équipes de sécurité opérationnelles doit désormais être une considération majeure pour toute organisation engagée dans une démarche de transformation numérique forte.
Par Renaud Bidou, Directeur Technique SEUR chez Trend Micro
