Comment abattre un missile avant qu’il n’atteigne sa cible ? C’est le problème auquel sont confrontées aujourd’hui les équipes de réponse aux incidents. Face à des cyberattaques toujours plus conséquentes et rapides, le centre des opérations de sécurité (SOC) qui gère la réponse aux incidents est plus que jamais au cœur du dispositif. Il doit trouver de nouvelles façons de freiner cette multiplication des menaces et pour accroitre son efficacité, repenser sa structure traditionnelle de sécurité et son approche technique.
L’importance croissante de la réaction aux incidents
C’est écrit noir sur blanc : une opération de réponse aux incidents bien rodée peut entraîner un retour sur investissement impressionnant. Le rapport « 2020 Ponemon Cost of a Data Breach » révèle que les violations de données coûtent 3,29 millions de dollars aux entreprises disposant d’une équipe dédiée qui teste régulièrement son plan de réponse aux incidents. C’est 2 millions de dollars de moins que les entreprises ne disposant pas d’une telle équipe.
Mais dans de nombreux cas de violation de données, le coût n’est pas que financier. Aucune organisation ne fonctionne en vase clos et toutes font partie d’une chaîne de valeur plus large. Un incident survenu à un endroit donné peut donc avoir des impacts négatifs très étendus. Certains peuvent même être à l’origine d’une violation de données à caractère personnel.
A titre d’exemple on peut évoquer le vol informatique de données du plus grand centre privé de soins de Finlande. Non seulement les agresseurs ont dérobé les dossiers sensibles de milliers de patients vulnérables, mais ils les ont également fait chanter en menaçant de divulguer leurs informations personnelles.
Le temps est un facteur critique. Comment l’économiser ?
Les enjeux étant très importants, il est essentiel de détecter et de traiter correctement les cyber-menaces. Comment les SOC peuvent-ils mesurer leur impact et l’améliorer ?
Le processus de réponse aux incidents inclut plusieurs étapes : la diminution du risque, l’identification de l’incident, son isolation, la réponse, le nettoyage et la récupération des données volées. Le temps est un facteur critique dans la plupart de ces phases. Une réponse agile et efficace est essentielle, qu’il s’agisse de détecter une attaque ou de la neutraliser.
Les hackers étant de plus en plus rapides et pernicieux, les SOC ont du mal à réagir rapidement, souvent parce qu’ils n’utilisent pas les outils de manière cohérente.
Face à un paysage changeant des cybermenaces et à des hackers utilisant des techniques de plus en plus sophistiquées, de nombreux SOC recherchent des technologies capables de les contrer. Mais la plupart du temps, confrontés à l’inconnu, ils s’équipent, sans véritable stratégie, de plusieurs outils qui ne fonctionnement pas forcément ensemble. Le SOC se retrouve alors sans workflow unifié. Par ailleurs, le manque d’automatisation nécessite un recours permanent aux interventions humaines, qui ne permettent pas rattraper les lacunes technologiques et rendent l’entreprise plus vulnérable.
Une mauvaise interopérabilité isole les informations de sécurité critiques dans différents silos. Les analystes finissent par agir à l’aveuglette car les données dont ils disposent n’ont pas été correctement filtrées par un ensemble cohérent de solutions, ce qui augmente le ratio de risque de négatifs/positifs et rend les attaques plus difficiles à détecter. Les SOC se retrouvent avec trop de faux positifs, le filtrage des données, essentiel pour identifier les véritables alertes, est plus difficile et les données contextuelles qui pourraient leur donner des informations plus précises sur une menace émergente (forme, importance et portée) sont inexistantes.
Ces faiblesses empêchent les SOC d’avoir un processus de réponse aux incidents unifié. Les opérateurs se retrouvent avec trop d’options à chaque étape du processus et il leur manque une plateforme globale, nécessaire pour obtenir une réponse plus rapide.
Il n’est donc pas étonnant que le rapport Ponemon ait constaté que la complexité du système de sécurité s’élève, lors d’une violation de données, à 292 000 dollars en moyenne.
La voie à suivre
Un SOC a le pouvoir de relever ces défis. Dans un 1er temps, il est important d’évaluer le dispositif actuel de réponse aux incidents ainsi que les résultats obtenus. Il est essentiel de se fixer des objectifs prédéfinis. Ces objectifs doivent être quantifiables et découler de mesures spécifiques. Il faut également identifier les domaines qui ne sont pas suffisamment monitorés et qui pourraient rendre vulnérable.
Aux premiers stades de la chaîne de réponse aux incidents, se trouve la prévention. Comment le SOC évalue-t’il le niveau de risque sur les différents actifs et quel effet potentiel cela pourrait-il avoir sur l’entreprise ? Est-ce qu’une approche mathématique du triage des risques est mise en place en fonction des ressources disponibles ?
Aux stades suivants du processus, ces mesures devraient porter sur le temps nécessaire pour identifier, contenir et neutraliser les incidents, mais également pour revenir à la normale.
Avec des mesures appropriées, le SOC pourrait mettre en place un processus de réponse aux incidents de bout en bout et sans faille, avec des procédures et des rôles précis, afin qu’aucune menace ne passe entre les mailles du filet.
Pour soutenir ce plan, un ensemble de solutions intégrées favoriserait des flux de données harmonisés qui réduiraient ou élimineraient le nombre de transferts et de changements d’outils ou de plateformes. Les opérateurs pourraient ainsi modifier les règles de pare-feu globalement, sans avoir à demander l’appui de chaque propriétaire de plateforme. Ils auraient par ailleurs une visibilité totale sur l’historique et l’étendue d’une menace mais également sur l’environnement habituel. Cette approche permettrait aux analystes de gagner un temps considérable et d’avoir une meilleure compréhension de la situation quel que soit le changement de contexte. Le résultat ? Des processus qui prenaient des jours pourraient être exécutés en quelques minutes.
La chaîne d’outils fournirait également une plateforme solide, propice à l’automatisation. La mise en place d’un workflow automatisé, soutenant le processus de réponse aux incidents, réduirait les interventions humaines et les temps de latence à chaque étape et permettrait aux analystes des prises de décision à forte valeur ajoutée.
Ce processus d’optimisation a d’importantes répercussions sur un SOC. Bien mené, il permettrait de convertir une réponse réactive aux incidents en une approche prospective, guidée par des objectifs clairs tels que la détection précoce et l’isolation rapide de la menace. Plus question d’avoir peur de l’inconnu ! Nous passons trop de temps à nous fier uniquement à nos connaissances, et cela nous empêche de détecter de nouvelles attaques et de nous en protéger.
En optimisant la prévention des attaques et en accélérant la réaction des entreprises et de leur équipe sécurité aux attaques en cours, il sera plus aisé de réduire le temps de détection, de diminuer la durée des attaques mais également d’accroître leur automatisation, ce qui limitera l’impact d’un incident de sécurité. Mieux encore, elles seront en mesure de prévenir ces situations explosives.