Opérations de sécurité : cinq points essentiels
La menace persistante des cyberattaques continue de poser de grands défis aux entreprises. Beaucoup d'entre elles font appel à des prestataires externes pour les opérations de sécurité (SecOps). Mais même dans ce cas, la sécurité informatique ne va pas de soi et nécessite certaines conditions. Cinq principes clés sont décisifs pour la réussite.
Sous le terme SecOps - c'est-à-dire Security Operations - les experts en sécurité informatique regroupent toutes les activités opérationnelles de leur domaine de spécialité. Comme le portefeuille de tâches est très large, les entreprises ont besoin d'un Security Operations Center (SOC) pour protéger leur infrastructure informatique à grande échelle - un seul collaborateur qui traite les alertes des outils EDR (Endpoint Detection and Response) et SIEM (Security Information and Event Management) n'est en aucun cas suffisant pour cela, comme le montrent les exemples suivants Ontinue souligne. Comme peu d'entreprises ont les moyens financiers de mettre en place un SOC et que le manque de personnel qualifié l'empêche même dans des conditions parfaites, beaucoup miseraient sur l'externalisation. Mais même la collaboration avec un fournisseur de services doit se dérouler de manière extrêmement efficace face à l'augmentation des cyberattaques et à l'évolution constante de la menace. Ontinue cite les cinq principes clés d'une SecOps réussie, efficace et efficiente :
Automatisation : L'automatisation est un aspect central pour les équipes SecOps afin de ne pas être noyées dans le flot des alertes. Les experts en sécurité doivent donc définir des actions de réponse significatives à l'aide d'outils SOAR (Security Orchestration, Automation and Response), c'est-à-dire des réactions automatisées aux incidents récurrents. Par exemple, en cas d'alerte indiquant une attaque de ransomware, le logiciel pourrait isoler automatiquement l'hôte concerné.
Collaboration : Une collaboration sans faille entre l'entreprise et le SOC externe d'un fournisseur MXDR est essentielle pour une protection efficace. Pour ce faire, beaucoup utilisent encore des systèmes de tickets lourds et lents, même à l'époque des outils de collaboration élaborés. Il est toutefois plus judicieux d'utiliser des plates-formes telles que Microsoft Teams ou Slack, qui permettent une communication plus directe et informelle entre tous les participants. Cela permet de réduire le Mean Time To Respond (MTTR).
Localisation : Pour pouvoir garantir une sécurité maximale, les prestataires de services externes tels que les fournisseurs MXDR doivent avoir une connaissance approfondie de l'infrastructure informatique des entreprises pour lesquelles ils travaillent. Pour cela, ils doivent d'une part bien connaître les clients, les points finaux et les serveurs, mais d'autre part aussi avoir une vue d'ensemble des propriétés individuelles et des droits d'accès basés sur les rôles. Il est également important qu'ils sachent exactement ce que sont les applications professionnelles existantes et lesquelles sont essentielles pour l'entreprise et son fonctionnement quotidien. Certains fournisseurs de MXDR mettent en œuvre, avec l'autorisation de l'entreprise, des robots d'intelligence artificielle qui surveillent automatiquement l'infrastructure informatique et informent les SOC externes en cas d'apparition de matériel ou de logiciel inconnu.
Spécialisation : En matière d'architectures de sécurité, moins c'est effectivement plus. De nombreux fournisseurs de services misent sur un portefeuille trop important de produits de sécurité. L'inconvénient est que leurs experts doivent s'occuper de différentes technologies. Il est donc plus judicieux de se concentrer sur l'écosystème global d'un fabricant, d'intégrer les opérations de sécurité de manière simple et complète et de fournir ainsi la meilleure qualité dans ce domaine. La collaboration entre les experts informatiques internes et leurs collègues externes est également plus facile si le portefeuille de produits utilisé est, dans la mesure du possible, d'un seul tenant.
Prévention : La meilleure alerte est celle qui ne se produit pas du tout. Les entreprises et les fournisseurs de services devraient donc travailler ensemble pour s'attaquer aux menaces de manière proactive et non pas seulement réactive. En clair, cela signifie que les deux parties doivent travailler de manière anticipative. Du côté de l'entreprise, cela signifie signaler à temps au partenaire de sécurité les modifications de l'infrastructure informatique ou même l'impliquer dans l'évaluation de nouveaux matériels ou logiciels. Du côté des fournisseurs de services, cela signifie entre autres consacrer beaucoup de temps à ce que l'on appelle la Threat Intelligence, c'est-à-dire à la détection de possibles futures failles de sécurité et menaces.
"Mettre en pratique un SecOps efficace n'est pas une mince affaire, ni pour les fournisseurs de MXDR ni pour les entreprises", souligne Jochen Koehler, VP EMEA Sales chez Ontinue. "C'est pourquoi il est important que toutes les parties prenantes tirent dans le même sens et que la collaboration fonctionne sans problème. Cela ne fonctionne que si les deux parties travaillent à une communication sans faille et font individuellement tout ce qui est en leur pouvoir dans leur domaine de responsabilité pour prendre les plus hautes mesures de sécurité. C'est la seule façon de rendre la vie vraiment difficile aux pirates informatiques".