Avec la fédération des données, les équipes du SOC passent à l’offensive

Dans un livre ou un film, le personnage complexe est généralement un atout : il éveille l’intérêt et apporte du mystère à l’intrigue. Mais lorsqu’il s’agit de votre environnement de données, les choses sont bien différentes.

Dans un récent rapport de Splunk intitulé « Les nouvelles règles de la gestion des données », 67 % des personnes interrogées évoquaient le volume de données et son augmentation comme le principal défi à leur gestion, juste derrière la sécurité et la conformité, premières sources des préoccupations pour 69 % des participants à l’étude. Une chose est sûre : pour une grande majorité d’organisations, l’augmentation massive des données et la prolifération des silos ont généré une grande complexité. Il est de plus en plus difficile de consulter, d’analyser et de sécuriser les données, sans même parler de respecter les obligations réglementaires.

C’est d’autant plus frustrant pour les professionnels du SOC, dont la mission est de préserver la sécurité des informations les plus précieuses de l’organisation et de les tenir à l’abri des menaces. La complexité amplifie la surface d’attaque d’une organisation ; elle est un atout pour les acteurs malveillants et crée un large éventail de risques. En parallèle, les analystes du SOC subissent régulièrement des déluges d’alertes alors qu’ils n’ont ni le temps, ni le personnel, ni l’expertise pour les prendre en charge. Tous les ingrédients d’un scénario catastrophe sont réunis.

Pourtant, il existe peut-être un antidote au chaos des données et au manque de personnel du SOC : une stratégie de fédération des données. Dans cet article, nous nous penchons sur le problème de la complexité des données dans le SOC et sur les avantages d’une stratégie de fédération, en examinant les résultats probants obtenus par les analystes qui misent activement sur cette approche.

La dispersion des données ralentit les équipes du SOC

La complexité des données est une réalité quotidienne dans le SOC, en grande partie à cause de la multiplication des sources : infrastructure locale, applications cloud, dispositifs IoT et implémentations de l’IA.

Les équipes du SOC savent mieux que personne à quel point un environnement est d’autant plus difficile à gérer et à sécuriser qu’il est hétérogène. En effet, face à un paysage de données distribué, chacun observe une partie des données sans avoir la même vue que son voisin. L’un des défauts majeurs des environnements de sécurité fortement distribués est qu’ils abritent une masse de données non gérées, parfois pendant très longtemps. Les données ne sont pas nettoyées, stockées de façon optimale ni détruites en temps voulu après utilisation. En se diversifiant, les sources de données font émerger des silos ; les données sont stockées en double ou en triple, les coûts opérationnels augmentent, la qualité baisse et l’efficacité se dégrade.

Tous ces facteurs sont lourds de conséquences face à une menace. Les analystes de sécurité sont les premiers à les subir : ils manquent de visibilité sur le paysage des menaces, les alertes arrivent en retard quand elles ne sont pas totalement invisibles et les malwares échappent à toute détection. Outre qu’ils masquent des signaux critiques, les grands volumes de données prolongent considérablement les temps de traitement pour les analystes du SOC qui cherchent des données pertinentes et utiles pour leur mission de sécurité. Résultat : ils jonglent avec les interfaces, ne voient plus les alertes et finissent épuisés.

Fort heureusement, il existe une autre approche. En effet, la fédération des données apporte aux professionnels du SOC des réponses à des questions cruciales.

Libérer tout le potentiel du SOC avec la fédération

Pour faire le meilleur usage de leur temps limité, les équipes du SOC ont besoin d’une stratégie de données qui ne se contente pas de les organiser. Cette nouvelle approche doit leur faciliter la vie et exercer un impact tangible sur les objectifs de sécurité. Cette approche, c’est la fédération des données.

Fondamentalement, la fédération des données permet aux organisations de voir, consulter, traiter et analyser toutes les données de leur environnement, où qu’elles se trouvent. Les organisations décident librement de l’emplacement de résidence de leurs données : à la source ou dans un autre espace dédié. C’est une véritable aubaine pour les équipes du SOC qui peuvent interroger et analyser les données à partir d’un point central sans avoir à les répliquer, à investir dans de grands projets de migration, ni mettre en danger la qualité des données.

Concrètement, cela signifie qu’au lieu d’attendre qu’un coup de téléphone leur annonce un incident, les analystes du SOC reçoivent les alertes depuis un point central de leur écosystème de données. Et comme la fédération de données réduit les options pour le stockage des données, leur destination devient plus facile à contrôler pour les équipes du SOC. L’implémentation et le maintien du contrôle d’accès sont également plus simples.

Parce qu’elle permet à différentes équipes d’exploiter les mêmes données, la fédération est également gage de flexibilité. Parallèlement à leurs propres analyses, les équipes du SOC peuvent mettre les résultats à la disposition de l’IT et de l’ingénierie, ouvrant la porte à d’innombrables possibilités de partage, de réutilisation et de collaboration, pour maximiser la valeur des données.

La fédération des données, une arme pour le SOC

On ne sera pas surpris que les organisations qui ont pleinement adopté la fédération des données, parallèlement à la gestion des pipelines et du cycle de vie des données, soient souvent en tête de classement lorsqu’on observe les KPI critiques et les métriques de sécurité. Elles affichent en moyenne une avance de 13 % pour la marge de profit d’exploitation, de 20 % pour la durabilité et de 11 % pour la vitesse d’innovation. Surnommées « leaders des données » dans le rapport « Les nouvelles règles de la gestion des données », les équipes de sécurité qui implémentent ces pratiques en récoltent les fruits au sein du SOC.

C’est particulièrement sensible au niveau du processus TDIR : la détection des menaces, les investigations et la réponse sont bien plus rapides. Les leaders des données enregistrent un MTTR réduit, sont plus efficaces dans la neutralisation des menaces, identifient plus rapidement les causes profondes et subissent moins de failles.

Quant aux équipes qui emploient la fédération, même de façon partielle, elles en tirent des avantages tangibles. Pour prendre un exemple, 67 % des organisations dotées d’une stratégie de gestion fédérée des données disent accéder plus rapidement à leurs données. Elles sont aussi 54 % à avoir renforcé leur gouvernance et 47 % ont également amélioré leur posture de conformité. Toutes les équipes d’une organisation, SOC inclus, observent une amélioration sensible des indicateurs liés aux données, comme la vitesse d’accès, la rapidité globale de traitement et la charge de calcul.

Pour les professionnels de la sécurité, la transformation ne se fera pas du jour au lendemain. Pour entamer ce parcours, il faudra faire évoluer les mentalités et passer d’un contrôle rigide de la sécurité des données à une culture de la collaboration et du partage d’informations. Mais il faut savoir que, même lorsque la fédération est encore rudimentaire, les métriques indiquent que les équipes peuvent enregistrer des résultats positifs en commençant lentement et en étendant progressivement leur stratégie de données. En posant les bases d’une stratégie de fédération efficace, les équipes du SOC bâtissent également un socle de résilience qui optimisera leurs pratiques de gestion des données et contribuera au succès de leur organisation.

Pour mieux comprendre l’intérêt d’une stratégie de fédération des données pour le succès des équipes de sécurité et d’observabilité, téléchargez votre exemplaire du rapport « Les nouvelles règles de la gestion des données ».