Data Insider

Qu’est-ce que l’automatisation de la sécurité ?

L’automatisation de la sécurité est l’exécution par une machine d’actions de sécurité ayant le pouvoir, par programmation, de détecter, investiguer et prendre en charge les cybermenaces sans intervention humaine, par l’identification des menaces entrantes, le tri et la hiérarchisation des alertes, puis leur traitement rapide.

L’automatisation de la sécurité fait l’essentiel du travail de votre équipe de sécurité, lui évitant de parcourir et traiter manuellement toutes les alertes qui surviennent. Entre autres choses, l’automatisation de la sécurité peut :

  • détecter les menaces dans votre environnement ;
  • trier les menaces potentielles en suivant les étapes, les instructions et le workflow décisionnel employés par les analystes de sécurité pour investiguer un événement et déterminer s’il s’agit bien d’un incident légitime ;
  • déterminer s’il faut prendre des mesures en réponse ;
  • contenir et résoudre le problème.

Tout cela peut se faire en quelques secondes, sans aucune intervention du personnel. Avec l’automatisation de la sécurité, les analystes de sécurité sont libérés de ces actions répétitives et chronophages, ce qui leur permet de se concentrer sur des tâches plus importantes et à plus forte valeur ajoutée. En outre, l’automatisation de la sécurité peut permettre une détection rapide des menaces. Selon une étude menée par ESG, les équipes IT ignorent 74 % des événements et alertes de sécurité, même lorsqu’elles disposent de solutions de sécurité, en raison de leur volume considérable. Non seulement l’automatisation de la sécurité peut détecter et résoudre ces problèmes courants, mais elle élimine également les erreurs humaines liées au manque d’expérience, à la surcharge de travail et à la négligence.

Cet article traite des principes de base de l’automatisation de la sécurité : son importance pour les entreprises, comment les plateformes et les outils d’automatisation de la sécurité peuvent créer de la valeur, et comment prendre un bon départ pour une implémentation réussie.

Security monitoring dashboard

74 % des événements ou alertes de sécurité sont ignorés par le personnel compétent.

Rapport d’analystes | Splunk se classe au 1er rang de l’étude des parts de marché ITOA d’IDC

Présentation de l’automatisation de la sécurité

Pourquoi l’automatisation de la sécurité est-elle si importante ?

Selon une étude de l’université du Maryland, il se produit aujourd’hui une cyberattaque toutes les 39 secondes et les entreprises reçoivent souvent des milliers, voire des millions d’alertes chaque mois. Aujourd’hui, le personnel de sécurité doit surveiller une surface d’attaque beaucoup plus importante que les années précédentes, car elle inclut désormais les appareils mobiles, l’infrastructure cloud et les dispositifs IoT. En bref, les alertes viennent littéralement de partout.

Security monitoring dashboard

Il se produit une cyberattaque toutes les 39 secondes.

Sans automatisation de la sécurité, les analystes doivent traiter les menaces manuellement. Cela implique habituellement d’étudier le problème et de le comparer aux informations sur les menaces (threat intelligence) de l’entreprise pour déterminer sa légitimité, de décider d’un plan d’action, puis de résoudre manuellement le problème, alors que les alertes peuvent se compter par millions et que les données sont souvent incomplètes.

De plus, bon nombre de ces alertes sont redondantes, de sorte que les analystes consacrent un temps précieux à des tâches répétitives qui les tiennent à l’écart des problèmes plus critiques. L’automatisation de la sécurité, en revanche, effectue une grande partie de ce travail à la place de votre équipe de sécurité. Au déclenchement d’une alerte, l’automatisation détermine immédiatement s’il faut intervenir, en fonction des réponses précédentes à des incidents similaires. Si c’est le cas, elle peut résoudre automatiquement le problème.

Parallèlement, les analystes de sécurité ont plus de temps à consacrer à la planification stratégique, à la recherche des menaces et à des investigations plus approfondies, ce qui est une vraie source de valeur pour l’entreprise.

Quels sont les signes qui indiquent qu’une entreprise a besoin d’automatiser sa sécurité ?

Plusieurs signes doivent vous inciter à automatiser la sécurité : une violation, des délais de réponse trop longs, un déluge de faux positifs et la nécessité de rendre les opérations plus efficaces et rentables.

S’il est clair que la plupart des entreprises auraient avantage à adopter l’automatisation de la sécurité, certains facteurs la rendent plus urgente et attractive si :

  • une violation s’est produite. Des milliards de personnes et d’innombrables entreprises ont été affectées par des violations de données. En 2018, les violations ont coûté environ 148 dollars par enregistrement perdu ou volé, soit près de 4 millions de dollars par incident. Les entreprises ne peuvent pas se permettre d’être laxistes en matière de mesures de sécurité.
  • le délai de réponse aux incidents est trop long. Les analystes de sécurité ne peuvent étudier qu’une fraction des alertes qui se déclenchent. Il est donc rarement possible d’intervenir en temps réel. Les entreprises ont besoin de solutions et de pratiques qui leur permettent de résoudre les incidents plus rapidement, afin de réduire le temps total consacré à chaque incident.
  • l’équipe de sécurité est submergée de faux positifs. Les faux positifs ne se dévoilent qu’après avoir été examinés un par un comme des menaces réelles. Ces incidents parasitent la concentration des analystes de sécurité et les empêchent de traiter les véritables menaces.
  • les équipes de sécurité veulent gagner en efficacité et en rentabilité. Quand les analystes de sécurité perdent du temps sur des tâches répétitives et sur des faux positifs, ils n’exploitent pas tout le potentiel de leur valeur pour l’entreprise.

Qu’est-ce qu’une plateforme d’automatisation de la sécurité ?

Une plateforme d’automatisation de la sécurité est un logiciel qui exécute une série de mesures de sécurité portant sur l’ensemble de votre infrastructure, et ce en quelques secondes. La plateforme d’automatisation de la sécurité intervient lorsqu’un incident est détecté (via le réseau, une analyse de fichiers, une analyse d’e-mails, etc.), puis réagit en conséquence. Les plateformes d’automatisation de la sécurité réunissent plusieurs fonctionnalités :

  1. la création et la personnalisation de procédures. Les plateformes d’automatisation de la sécurité vous permettent d’élaborer et de personnaliser des procédures ou d’utiliser des procédures prédéfinies, pour filtrer les données, prendre des décisions en appliquant une logique codée, demander l’avis ou la confirmation d’un utilisateur ou invoquer une autre procédure.
  2. des processus normalisés de réponse aux incidents. Les procédures indiquent à l’outil d’automatisation de la sécurité comment réagir aux incidents en fonction de règles internes, ce qui garantit l’application d’un processus de sécurité reproductible, rationalisé et vérifiable, destiné à aider les équipes de sécurité à accélérer la réponse aux incidents et à limiter les risques. Quelques exemples d’actions typiques :
    • la suppression ou la mise en quarantaine de fichiers potentiellement infectés par des programmes malveillants ;
    • l’exécution d’une recherche de géolocalisation sur une adresse IP donnée ;
    • la recherche de fichiers sur un point de terminaison particulier ;
    • le blocage d’une URL sur les dispositifs de périmètre ;
    • l’isolement d’un dispositif sur le réseau.
  3. l’intégration transparente avec d’autres systèmes de sécurité. Les produits d’automatisation de la sécurité s’intègrent en toute transparence à vos ressources de sécurité, notamment les pare-feux, les solutions de point de terminaison, les services de gestion de la réputation, les sandboxes, les services de répertoire et les SIEM. Ils permettent également de superviser l’ensemble de votre infrastructure à l’aide d’une seule interface.
Security monitoring dashboard

L’automatisation de la sécurité s’intègre aux pare-feux, aux solutions de point de terminaison et aux autres produits IT de votre environnement.

Comment l’automatisation de la sécurité a-t-elle évolué ?

L’automatisation de la sécurité est devenue un sujet d’actualité pour les entreprises et les équipes de sécurité, en grande partie à cause de l’augmentation exponentielle des cyberattaques. Avant l’automatisation, les analystes de la sécurité devaient analyser et traiter chaque alerte, un véritable exploit qui s’est révélé impossible à réaliser. Le nombre considérable de menaces a imposé d’automatiser la réponse aux incidents, afin d’identifier et de répondre plus rapidement aux cyberattaques ou aux violations de sécurité.

Si le traitement automatisé des incidents a contribué à la prise en charge des problèmes de sécurité, il a fallu, à terme, trouver une approche plus proactive. C’est là qu’est apparue l’automatisation de la sécurité, qui offrait une approche systématique et informatisée. Cette approche a évolué pour devenir l’automatisation et l’orchestration de sécurité, cette dernière assurant la connectivité entre les outils de sécurité et les workflows.

Aujourd’hui, les fournisseurs proposent des systèmes d’orchestration, d’automatisation et de réponse de sécurité (SOAR) qui automatisent à la fois la réponse et la correction. (Notez que les fournisseurs utilisent une terminologie variable pour décrire leurs outils. Assurez-vous donc de bien connaître les fonctionnalités que vous attendez d’une plateforme d’automatisation de la sécurité avant de commencer à étudier les offres.)

Security monitoring dashboard

Les outils d’automatisation de la sécurité fournissent un tableau de bord des incidents, des indicateurs de réponse et bien plus encore.

Quelle est la différence entre l’automatisation et l’orchestration ?

L’automatisation de la sécurité consiste à simplifier vos opérations de sécurité et à les rendre plus efficaces. En revanche, l’orchestration de la sécurité connecte tous vos outils de sécurité, afin qu’ils s’informent les uns les autres, partagent des informations et réagissent aux incidents, même lorsque les données sont dispersées sur un vaste réseau et sur plusieurs systèmes ou machines.

L’automatisation et l’orchestration de la sécurité sont souvent employées de façon interchangeable, mais les deux plateformes remplissent en réalité des fonctions très différentes. Spécifiquement, l’automatisation de sécurité réduit le temps nécessaire pour détecter et traiter les incidents répétitifs et les faux positifs, pour un traitement rapide des alertes. Elle libère également le temps des analystes de sécurité pour leur permettre de se concentrer sur des tâches stratégiques comme les recherches d’investigation. L’automatisation de la sécurité est toutefois limitée car chaque procédure ne traite qu’un scénario connu, auquel on applique une suite d’actions définie.

Les deux fonctionnent de concert : l’automatisation de la sécurité traite un ensemble de tâches uniques, tandis que l’orchestration de la sécurité connecte et accélère le processus du début à la fin. Ainsi, les équipes de sécurité peuvent gagner en efficacité et en productivité lorsqu’elles adoptent les deux.

Comment rentabiliser l’automatisation de la sécurité au maximum ?

Il existe de nombreuses façons de générer de la valeur avec l’automatisation de la sécurité, notamment en établissant des priorités pour son utilisation, en élaborant des procédures et en formant le personnel. Suivez ces bonnes pratiques pour exploiter toute la valeur de votre investissement dans une plateforme d’automatisation de la sécurité :

  1. ne pensez pas qu’elle puisse remplacer l’intervention humaine. Cette technologie fonctionne bien pour exécuter des actions simples, mais pour résoudre les problèmes plus complexes qui nécessitent une prise de décision, une réflexion créative et une démarche sophistiquée de résolution, vous aurez toujours besoin d’un personnel IT expérimenté, et en particulier d’analystes de sécurité. L’automatisation permettra à ces analystes de se consacrer aux problèmes importants.
  2. établissez des priorités. Pour déterminer les priorités de l’automatisation, prenez du recul et observez les choses dans leur ensemble, identifiez les incidents qui se produisent le plus souvent et ceux dont l’investigation et la résolution demandent le plus de temps. Définissez ensuite vos scénarios d’utilisation en fonction de votre secteur et des objectifs de votre entreprise, et créez une liste de vos usages de l’automatisation de la sécurité. Impliquez des parties prenantes de vos opérations de sécurité dans l’identification des scénarios d’utilisation, même si vous ne pensez pas les implémenter dans l’immédiat. Garder ces priorités en tête lors du choix du fournisseur vous permettra de sélectionner une plateforme utile à long terme.
  3. adoptez progressivement l’automatisation. La plupart des entreprises ne peuvent pas tout automatiser en une fois, et ce n’est pas recommandé. Commencez là où l’automatisation de la sécurité est la plus logique ou peut apporter une valeur immédiate. Une adoption progressive de l’automatisation vous permet de suivre votre progression, de prendre en compte les résultats, de les ajuster au besoin et de mettre à profit ces connaissances lorsque vous mettez en œuvre l’automatisation dans d’autres domaines.
  4. développez vos procédures. Il est important de documenter les étapes, les instructions et les bonnes pratiques pour résoudre les incidents efficacement et veiller à ce que votre équipe de sécurité suive un processus cohérent et reproductible à chaque fois qu’un incident se produit. Lors de l’élaboration de la liste de priorités pour le développement des procédures, commencez par celles qui éliminent les tâches répétitives qui font perdre le plus de temps à l’équipe.
  5. formez vos équipes. Non seulement vous devez former votre personnel pour qu’il sache utiliser efficacement le logiciel d’automatisation, mais aussi pour qu’il puisse traiter les incidents complexes que le logiciel ne peut résoudre. Lorsque des alertes nécessitent une intervention humaine, votre équipe doit posséder l’expertise et la confiance nécessaires pour les gérer.
  6. mettez à profit le temps gagné. L’automatisation rend les équipes de sécurité plus productives et leur donne l’opportunité d’en faire plus pour l’entreprise. Planifiez la façon dont vos analystes vont se concentrer sur des tâches à valeur ajoutée au bénéfice de toute l’entreprise, par exemple, mener une investigation approfondie sur les causes profondes des attaques d’hameçonnage que vous subissez constamment. De plus, l’automatisation va créer de nouveaux rôles au sein de l’entreprise, utilisez le temps que vous venez de libérer pour élaborer un modèle d’amélioration permanente et former le personnel à la conception, à la mise en œuvre et à l’amélioration des logiques d’automatisation.
  7. rassemblez vos outils de sécurité et vos workflows. L’adoption de l’orchestration de la sécurité en plus de l’automatisation de la sécurité vous offre une meilleure visibilité sur l’ensemble de votre entreprise, facilite la communication et la collaboration, améliore l’efficacité, élimine la confusion et les erreurs, et réduit les délais de réponse.
Comment prendre un bon départ avec l’automatisation de la sécurité ?

Pour bien démarrer avec l’automatisation de la sécurité, vous devez définir vos besoins et des cas d’utilisation, puis effectuer des recherches approfondies auprès des fournisseurs en fonction d’une multitude de critères. Et si vous êtes prêt, voici quelques conseils pour prendre plus facilement cette grande décision.

  1. Commencez par établir vos besoins. L’aide que peut vous apporter l’automatisation de la sécurité dépend fortement de votre secteur et de votre activité. Les outils que vous adoptez et les processus que vous mettez en place vont varier considérablement selon que vous exercez dans le commerce de détail, la santé, la fabrication, les services financiers, le secteur public ou un autre secteur.

    Par exemple, les détaillants sont confrontés à des niveaux sans précédent d’attaques par ransomware et par hameçonnage. L’automatisation peut contribuer à éliminer les attaques répétitives et les faux positifs afin de permettre aux analystes de sécurité d’investiguer ces cas plus en profondeur et de mettre en œuvre une solution durable.

    Avant d’examiner les fournisseurs, travaillez avec votre équipe IT et d’autres décideurs de l’entreprise pour identifier les problèmes que vous devez résoudre. Voici quelques questions pour orienter les débats :

    • L’équipe de sécurité est-elle confrontée à un déluge d’alertes ? Combien d’alertes reçoit-elle par jour et combien est-elle capable de traiter ? Combien de ces alertes sont des doublons et des faux positifs ?
    • Quels sont vos temps de séjour (durée pendant laquelle une menace active n’est pas détectée) et vos taux de réponse ?
    • Quelles sont les tâches reproductibles et bien définies ? Comment l’automatisation pourrait-elle accélérer l’exécution de ces tâches ?
    • Quels sont les trois principaux objectifs de l’organisation (p. ex., croissance, exploitation lean, réduction des inefficacités) ? Quelles priorités de sécurité devez-vous établir pour aider l’entreprise à atteindre ces objectifs ?
  2. Définissez les scénarios d’utilisation. En fonction de votre secteur et des objectifs de votre entreprise, établissez une liste de vos usages de l’automatisation de la sécurité. Par exemple, si vous êtes dans l’industrie de la fabrication, le deuxième secteur le plus attaqué après celui de la santé, l’automatisation et l’orchestration de la sécurité peuvent apporter une visibilité sur l’activité de votre réseau, tout en ciblant et en bloquant un grand nombre d’attaques. Consacrez du temps à cette étape, car elle sera essentielle pour trouver des fournisseurs capables de répondre aux besoins de votre entreprise, puis pour élaborer des procédures.
  3. Étudiez attentivement les offres des fournisseurs.
    Muni de vos objectifs, de vos priorités et de vos scénarios d’utilisation, vous pouvez commencer à rechercher un fournisseur. Voici quelques points à garder à l’esprit pour vous aider à réduire le nombre d'options :
    • la simplicité du code. Produire du code pour déployer un nouvel outil prend beaucoup de temps. Idéalement, il vous faut une plateforme qui vous permette d’élaborer des procédures sans code manuel.
    • l’intégration de produits tiers et prise en charge de plug-ins. Passez en revue l’ensemble de vos applications et outils pour vous assurer que le fournisseur de votre choix propose bien les intégrations tierces et les plug-ins dont vous avez besoin.
    • la simplicité d’utilisation et la flexibilité. Choisissez une plateforme nécessitant peu ou pas de maintenance. Cherchez à savoir quel degré de personnalisation est possible pour répondre à vos besoins immédiats et à long terme.
    • la durée et type de déploiement. Si vous souhaitez tirer immédiatement de la valeur de votre outil, discutez ouvertement avec les fournisseurs du temps nécessaire pour être opérationnel, des mises à jour de l’infrastructure à l’installation, en passant par la formation du personnel.
    • l’assistance technique. Sachez à quel type d’assistance vous avez droit dès le premier jour (par exemple, assistance 24h/24, 7j/7, téléphone, e-mail ou messagerie web).

Pour résumer

Adoptez l’automatisation de la sécurité dès maintenant

L’automatisation de la sécurité n’est plus un simple atout. Elle est devenue incontournable dans les environnements IT complexes d’aujourd’hui. Face à l’augmentation du nombre et de la gravité des cyberattaques, les compétences de haut vol en sécurité sont rares. L’automatisation optimise la valeur (et la motivation) de vos meilleurs analystes de sécurité en automatisant les tâches fastidieuses et banales.

L’automatisation de la sécurité vous permet de réduire considérablement vos temps de réponse aux incidents et vos temps de séjour, et de garder une longueur d’avance sur les menaces. La réponse aux incidents, qui pouvait prendre des heures, voire des jours auparavant, peut être réduite à une poignée de secondes. Vous allez ainsi réduire l’exposition de votre entreprise, mieux protéger vos clients, tout en préservant votre réputation et vos résultats.