Pendant une grande partie de l’histoire de l’informatique et de la cybersécurité, l’analyse des données a été un processus réactif. Les outils et les équipes s’appuyaient sur des rapports opérationnels qui examinaient les bases de données, les entrepôts de données et d’autres systèmes d’enregistrement afin de les aider à prendre des décisions. Les données en temps réel qui informaient les cadres de la posture actuelle des systèmes étaient généralement cloisonnées et visibles uniquement par le personnel spécialisé en technologie et responsable de ce silo technologique, c’est-à-dire les logs des applications, les logs des bases de données, les logs des serveurs physiques et virtuels, les conteneurs et de nombreux autres dispositifs tels que les routeurs, les pare-feux et les services cloud.
Le Ponemon Institute estime que les interruptions de service touchant le secteur public coûtent en moyenne 476 000 $ chacune. Les interruptions dues à une faille ou à une attaque par ransomware peuvent faire monter ces coûts en flèche. Le calcul de l’impact d’un temps d’arrêt ou d’un ralentissement sur la productivité provoqué par une interruption ou une faille est beaucoup plus simple : coût de la productivité = nombre d’employés touchés par le temps d’arrêt ou le ralentissement x taux de rémunération horaire. Pour les entités gouvernementales, cela constitue la préoccupation principale étant donné qu’elles ne subissent pas de perte de clientèle.
Lorsque les données en temps réel sont cloisonnées entre les équipes qui gèrent ces appareils, il est difficile de les utiliser pour prendre des décisions éclairées ou même résoudre un incident. En général, lorsqu’un incident se produit, si sa cause n’est pas évidente pour les équipes qui examinent les ensembles de données, une cellule de crise est convoquée. Ce scénario très courant pose deux problèmes. Premièrement, ce n’est qu’après ou pendant un incident que cet effort de résolution est réalisé, alors que le mal est déjà fait. Et deuxièmement, cela se transforme souvent en exercice de « temps moyen d’innocence », car chaque équipe essaie de prouver que sa partie de la pile technologique n’est pas en faute. La question n’est plus de savoir comment éviter les interruptions, mais comment fournir des services essentiels en cas d’attaque ou d’interruption. Une vue globale de la posture en temps réel élimine les vues cloisonnées des données, et par conséquent les cellules de crise mises en place afin d’analyser les problèmes et les résoudre. Pour l’équipe informatique, l’objectif absolu consiste à adopter une démarche prédictive grâce à des données en temps réel afin d’éviter ou de minimiser les interruptions, les ralentissements et les failles.
Selon une étude récente menée par Meritalk et Splunk, 91 % des professionnels de la cybersécurité du gouvernement ont déclaré que leur organisation a besoin d’une stratégie de résilience mature et globale. Cependant, les cadres du secteur public pensent encore à la résilience en termes de simple conformité et gestion des risques. Splunk n’est pas le premier produit qui vient à l’esprit en tant qu’outil de visualisation. Mais lorsqu’il s’agit de visualiser en temps réel la posture d’une organisation, la capacité de Splunk à ingérer et à analyser le flux de données numériques provenant d’appareils, d’applications, de services sur site et dans le cloud dans une vue consolidée fournit aux cadres des informations que d’autres outils de génération de rapports opérationnels ou de visualisation de stockage de données ne peuvent pas fournir.
Étant donné que Splunk fournit des informations sur les sources de données en temps réel telles que les logs, les métriques, les événements et les traces, les tableaux de bord Splunk peuvent être utilisés par presque tous les cadres pour déterminer leur posture actuelle. Contrairement aux rapports opérationnels statiques ou aux rapports historiques, la nature en temps réel de ces tableaux de bord permet aux cadres d’être proactifs, d’avoir une plus grande visibilité, de réduire les temps d’arrêt et les problèmes de performance, ainsi que d’économiser de l’argent et des ressources.
Approche proactive : pendant une grande partie de l’histoire de l’informatique et de la cybersécurité, l’analyse des données a été un processus réactif. Avec l’optimisation des données en temps réel, Splunk permet d’adopter une attitude plus proactive grâce au data mining, aux stratégies prédictives et aux algorithmes de machine learning. Splunk contribue à l’identification des modèles qui n’étaient pas facilement découverts avec les méthodes et outils auparavant disponibles.
Visibilité accrue : les infrastructures informatiques modernes sont un mélange hétérogène de serveurs physiques et virtuels, de clouds publics et privés, de bases de données et d’applications avec des interdépendances complexes, ce qui crée des problèmes de visibilité pour les équipes informatiques. Les données en temps réel associées à Splunk en tant qu’outil unifié de supervision et d’analyse offrent aux cadres une vue unique et complète de leur environnement pour prendre des décisions basées sur les données.
Temps d’arrêt réduit : les données en temps réel permettent de prévoir, de prévenir ou de détecter les composants défaillants, les pics de service, les menaces de sécurité et les autres problèmes d’infrastructure. En anticipant ou en identifiant rapidement ces problèmes, les équipes peuvent les résoudre avant qu’ils n’aient un impact significatif sur les clients.
Réduction des coûts : les tableaux de données en temps réel aident à réduire les coûts de l’infrastructure informatique en donnant aux cadres davantage d’informations, notamment sur l’allocation et la consommation des ressources, l’état du système et les faiblesses de sécurité. Grâce à l’optimisation des éléments de l’infrastructure, l’ITOps peut permettre de réaliser d’importantes économies.
Depuis 2013, Splunk effectue un suivi de notre capacité à avoir un impact positif sur ces quatre domaines et crée des indicateurs d’amélioration validés par les clients.
Valeur des tableaux de bord exécutifs
Les organisations génèrent énormément d’informations et de données, bien plus que ce que n’importe quelle personne peut examiner. Alors que la technologie tente de résoudre des problèmes plus importants et de créer de meilleurs services, elle accroît également la complexité de déploiement des nouvelles technologies. Si l’on ajoute à cela les services cloud et la maintenance des systèmes existants, la quantité de données générées ne fait qu’augmenter. Pourtant, il est demandé aux dirigeants de synthétiser et d’utiliser des quantités massives de données afin de prendre les décisions les plus judicieuses pour leurs organisations.
Des tableaux de bord exécutifs bien conçus offrent des représentations graphiques de l’état des systèmes qui attirent immédiatement l’attention sur les domaines préoccupants. Les dirigeants peuvent analyser les données en temps réel et transformer ces informations en plans d’action sans avoir à passer du temps à parcourir des rapports ou à examiner une quantité trop importante de détails.
Avec Splunk, cette vue détaillée n’est pas statique et propre à la direction. Chaque persona peut obtenir le contexte plus large pour rechercher des métriques spécifiques de la vue exécutive. Cela permet de s’assurer que le responsable et ses équipes, qui travaillent sur la solution, utilisent un ensemble cohérent de données pour trouver une solution. Disposer d’une vue cohérente et en temps réel des données permet non seulement aux dirigeants de gagner du temps, mais aussi d’effectuer un meilleur suivi des métriques de l’entreprise, d’obtenir de meilleures informations en temps réel et de réagir plus rapidement aux problèmes.
Exemples de tableaux de bord par persona
Posture de sécurité
RSSI
Cinq zones de ce tableau de bord fournissent un aperçu en temps réel à un responsable de la sécurité. Les quatre cases de tendance dans la partie supérieure indiquent la direction que prend la tendance de chaque métrique, et, en fonction de la couleur, si le mouvement est positif ou négatif. Ensuite, deux ensembles de graphiques au centre du tableau de bord résument les événements de sécurité par urgence et par domaine de sécurité, ce qui permet d’avoir des informations un peu plus approfondies du niveau de sécurité de l’organisation. Le graphique en bas à gauche montre la chronologie des événements regroupés par domaine de sécurité. Enfin, dans le coin inférieur droit se trouve la vue la plus granulaire basée sur les infractions des principales règles de sécurité.
État d’avancement de la mise en œuvre Zero Trust
PDG, DSI, RSI, Président, Recteur, Directeur médical
Cette vue d’une mise en œuvre Zero Trust passe à un niveau supérieur par rapport au tableau de bord précédent, mais elle exploite une grande partie des mêmes données. Elle est conçue pour donner aux responsables informatiques et autres une vue de l’état d’avancement d’un projet de mise en œuvre essentiel. Le côté gauche de l’écran affiche les pourcentages de l’achèvement des éléments clés de la mise en œuvre Zero Trust de l’organisation. Le côté droit mappe ces pourcentages sur la chronologie globale de mise en œuvre du projet et les étapes accomplies.
Conversion cloud/Transformation numérique
DSI, RSSI ou Directeur technique
La conversion vers le cloud est une priorité absolue pour de nombreuses organisations. Cependant, l’obtention d’une visibilité en temps réel sur les progrès et les économies réalisées peut constituer un véritable défi. Le côté gauche du tableau de bord montre la progression de la migration de l’infrastructure et des applications vers le cloud, à la fois du point de vue du coût et du pourcentage de l’état d’avancement. Le côté droit met en évidence les dépenses et les économies liées au cloud à ce jour.
Wi-Fi
DSI ou Opérations réseau
La mise à disposition d’une connectivité Wi-Fi à haut débit est en train de devenir la norme dans les villes, les centres de transport public et les campus des universités et des entreprises. L’identification des périodes et des zones d’utilisation élevée permet aux organisations d’optimiser les performances de leur Wi-Fi en élargissant le service en fonction des tendances des données d’utilisation. Comme vous pouvez le constater, il permet également d’indiquer aux utilisateurs mobiles les emplacements les plus performants et ceux qu’il vaut mieux éviter.
Workforce
Directeur RH
Même après « La Grande Démission », la supervision de la satisfaction des employés, ainsi que le maintien et la planification des effectifs d’une organisation sont la priorité pour de nombreuses organisations. Ce tableau de bord offre une vue unique du lieu de travail des employés, des postes vacants, de l’ancienneté et de la satisfaction des employés, ce qui permet aux cadres et à leurs partenaires des ressources humaines d’identifier les domaines de préoccupation et d’amélioration potentielle.
Fournisseur de systèmes de soins de santé
CCO (Directeur des soins), CMO (Directeur médical) ou CNO (Infirmier en chef)
Sur le côté gauche du tableau de bord, un aperçu en temps réel de la disponibilité du personnel permet aux chefs de service et aux CXO d’ajuster les horaires et d’optimiser leurs ressources de soins. Le quadrant supérieur droit affiche d’importantes métriques hospitalières qui pourraient avoir un impact sur la disponibilité des services et la nécessité potentielle de prendre d’autres dispositions. Enfin, le cadre inférieur droit présente un aperçu des principales métriques financières du côté payeur de l’équation.
Grâce à sa capacité à analyser n’importe quel type de données, dans n’importe quel format, à n’importe quelle échelle de temps, et à présenter ces données dans des tableaux de bord exécutifs faciles à interpréter, Splunk est la meilleure plateforme pour fournir une vue de la posture en temps réel aux cadres d’une organisation. La capacité de Splunk à mettre en évidence les tendances, les schémas et les anomalies permet aux tableaux de bord Splunk de fournir des informations claires aux cadres et à leurs équipes. Grâce à Splunk, vous pouvez accélérer les opérations quotidiennes pour améliorer le MTTD et le MTTR, absorber les chocs pour mieux résister aux perturbations du système et les surmonter, ainsi que stimuler la transformation grâce à une visibilité sur toutes les architectures pour mener à bien votre mission.
Contrairement aux outils de génération de rapports statiques, la nature en temps réel de ces tableaux de bord permet aux cadres d’être proactifs, d’avoir une plus grande visibilité, de réduire les temps d’arrêt et de prévoir les problèmes de performance. Par conséquent, il est facile d’économiser du temps et de l’argent, ainsi que d’accroître la productivité des utilisateurs. Splunk permet à vos équipes SecOps, ITOps et d’ingénierie de travailler individuellement et ensemble, selon les besoins, pour devenir plus résilientes grâce à trois résultats clés.
Les tableaux de bord en temps réel de Splunk offrent aux organisations une visibilité complète sur tous leurs systèmes afin d’identifier et de traiter les principaux risques et problèmes avant qu’ils ne deviennent des incidents majeurs. Grâce aux tableaux de bord exécutifs, les équipes de toute l’organisation peuvent obtenir une vue d’ensemble de n’importe quel problème ou événement, ce qui améliore la résilience globale. Les organisations du secteur public peuvent améliorer leur MTTD et leur MTTR, et donc être à nouveau opérationnelles plus rapidement. De plus, la vue globale de Splunk sur les données sous-utilisées peut accélérer la transformation numérique et par conséquent, les organisations peuvent mieux servir leurs administrés en toute confiance.
L’objectif de Splunk est de construire un monde numérique plus sûr et plus résilient. Nous sommes engagés et prêts à soutenir la communauté SLED. Découvrez comment construire une base de cyber-résilience grâce aux solutions Splunk.
Nous remercions David Habuda pour le développement des tableaux de bord.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
