Spécialiste de la Threat Intelligence, l’éditeur américain ThreatQuotient vient de publier son dernier rapport faisant état de l’adoption de l’automatisation de la cybersécurité. En ressortent le constat d’une tendance à la généralisation et une observation quant à la façon dont les RSSI appréhendent les challenges liés à l’entreprise étendue.
D’après une enquête réalisée par ThreatQuotient, l’automatisation des chaînes cyber tendrait à se généraliser : “Cela va devenir naturel de transférer un certains nombre de tâches comme le triage d’alertes ou la gestion de logs, les décisions sur spearfish, etc. Dans le monde du renseignement, c’est déjà le cas de taches comme l’auto enrichissement, le croisement de données ou les vérifications rétrospectives ”, assure Cyrille Badeau, vice-président international, ThreatQuotient. Il faudra cependant attendre encore un peu car, actuellement, seulement 18 % des 750 responsables cybersécurité interrogés automatisent le tri des alertes. “Alors qu’il s’agit d’un domaine permettant potentiellement de réduire la charge des contrôles et priorisations manuels…”, s’étonne Cyrille Badeau.
L’étude, conduite uniquement au niveau UK dans sa précédente édition, a été étendue aux Etats-Unis et à l’Australie cette année et devrait intégrer les pays de l’Union Européenne dans sa prochaine version. “Ce qui est important c’est l’évolution qu’on mesure à partir de l’étude précédente. Si les différences entre régions ne sont pas marquées, on note une montée en puissance générale en termes de maîtrise de l’automatisation et donc de maturité ”, observe Cyrille Badeau. Selon l’enquête, menée auprès de l’administration publique, de la défense, d’infrastructures critiques nationales, de retailers ou de services financiers, 98 % des répondants affirment que leur budget d’automatisation augmente. Il ressort également qu’un grand nombre d’entre eux puise dans les budgets d’autres départements pour permettre cette augmentation et que 30 % réallouent des budgets de recrutement de personnel non-attribués.
Anticipation versus réaction
Pour le vice-président international, cette tendance s’explique “par un besoin d’aller plus vite et de faire mieux” et se découpe en deux phases : la première consiste à chercher l’optimisation détection-réponse, à savoir l’aboutissement du Mean Time To Detect (MTTD) et le Mean Time To Respond (MTTR). Une démarche assumée comme réactive. Depuis une dizaine d’années, beaucoup d’organisations mesurent leur capacité avec ces marqueurs. La deuxième phase consiste à abandonner la première et à doter sa stratégie de sécurité d’une capacité d’anticipation. Il ne s’agit plus cette fois de détecter vite, mais d’être en mesure de mener des actions en avance de phase, avant même d’être touché par une attaques Et c’est là qu’entre en ligne de compte la gestion du renseignement : “Il s’agit en effet de constater, grâce à de la détection, la présence d’un adversaire, d’une technique ou d’une méthode et de s’y intéresser, à l’avenir, pour, proactivement, mettre en consommation dans sa défense tout ce qu’on va pouvoir collecter comme renseignement associé. Un attaquant est venu une fois, on collecte tout le renseignement qui peut lui être associé et on va récupérer des indicateurs de compromission qui correspondent à son artillerie et, avant même qu’il l’utilise chez nous, cette approche de ThreatIntel permettra d’anticiper et de prendre du temps à l’adversaire”, explique Cyrille Badeau. Selon le rapport, les initiatives d’automatisation déjà en cours concernent le plus souvent la gestion de la Threat Intelligence et la réponse à incident (26,5 %), suivies de près par la protection contre le phishing (26 %) et la gestion des vulnérabilités (25 %).
Ne pas confondre automatisation et sécurisation
Certaines organisations rencontrent aujourd’hui certaines difficultés dans leur volonté d’automatiser. Ce qui s’explique, d’une part par l’hétérogénéité des parcs. Certaines organisations ont en effet un grand nombre de capacités de défense historiquement construites sur différents outils dû à de la croissance externe ou la création de filiales. D’autre part, parce que certains font la confusion entre sécurisation et automatisation : “Ce n’est pas une fonction de sécurité en soi. Elle n’arrive pas avec son lot de processus pré-écrits sur étagère. Au contraire ! L’automatisation n’a de valeur que lorsque l’on sait exactement ce qu’on va lui demander de faire. Ce qui veut dire qu’on a déjà écrit et mis en place ses process de sécurité et qu’on en transfère une partie à l’automate ”, rectifie Cyrille Badeau. Enfin, dernier point, 37 % des responsables des solutions de sécurité IT/de l’architecture sont les professionnels qui rencontrent le plus de problèmes d’adhésion de la direction (37 %) comparés à d’autres fonctions (19 %).
Stéphane Bellec
