Votre entreprise est la cible d'une compromission ?

Cybersécurité : le syndrome du héros

Selon la définition, un héros est un guerrier illustre qui se distingue par ses exploits. Mais qu’est-ce que l’héroïsme dans la cybersécurité ?

Il n’est pas rare d’observer chez les analystes des SOC un trait de caractère appelé le « syndrome du héros ». Ils se concentrent la plupart du temps sur des attaques majeures et sont souvent obligés de sauver la situation in-extremis, de manière spectaculaire et visible.

Mais cette approche n’est pas intentionnelle et ils ne nourrissent pas le fantasme de devenir des superhéros. Comme tout le monde, ils veulent faire leur travail le plus efficacement et rapidement possible. Aujourd’hui, même si ce n’est pas la meilleure manière d’aborder la réponse aux incidents, la plupart d’entre eux ont malgré tout tendance à chercher des solutions à la dernière minute. Pourtant, les entreprises fonctionnent mieux lorsqu’elles anticipent et traitent les menaces émergentes à un stade précoce, grâce à une préparation appropriée.

Il est indéniable que la prévention est préférable à une « guérison » spectaculaire et à ses dommages collatéraux.  Donc, qu’est-ce qui pousse les opérateurs de SOC à ces extrémités ?

La montée du syndrome du héros

Les SOC privilégient toujours l’interaction humaine dans toutes les étapes de la réponse aux incidents. Nombreux sont les analystes qui se méfient des solutions automatisées, tels que les logiciels antivirus. Ils les considèrent comme trop génériques et inefficaces contre les attaques ciblées. En effet, ils se concentrent davantage sur les incidents où les outils de sécurité ont échoué plutôt que sur les domaines où ils ont été utiles.

Pris dans cette « stratégie de l’échec », les SOC font donc appel à des intervenants humains pour réaliser des tâches qu’un ordinateur pourrait réaliser seul. Ils passent ainsi à côté des bénéfices de l’automatisation, même si celle-ci améliore le fonctionnement de bien d’autres industries.

Les effets néfastes du syndrome du héros

Ce désintérêt pour les solutions automatisées ne signifie pas que les analystes SOC n’en utilisent pas, bien au contraire. Mais, ils n’utilisent qu’une partie de leurs capacités.

Par exemple, une solution de détection et de réponse EDR, confiée à un spécialiste sceptique, devient un simple enregistreur relégué à la collecte de données, plutôt qu’un outil automatisé capable de repérer et neutraliser les cyberattaques, sa principale fonctionnalité. Cette méfiance vis à vis de l’automatisation et l’usage limité qu’ils en font empêchent souvent les SOC de développer une stratégie de protection cohérente. Ils investissent de manière inefficace puisqu’ils ne tirent pas pleinement parti de ces solutions.

Ils se retrouvent alors dans une situation difficile et peuvent passer à côté de petits évènements, qui pourraient pourtant être facilement réglés. Ces dernières finissent par devenir des incidents, qui s’ils ne sont toujours pas traités, peuvent parfois se transformer en véritables urgences. Lorsque les analystes reçoivent ces alertes, il est malheureusement trop tard et ils sont obligés de prendre des mesures drastiques qui affectent le fonctionnement global de l’entreprise.

La cybersécurité a tant évolué que les entreprises ne peuvent plus se permettre de passer d’une catastrophe à l’autre. Les attaquants sont de plus en plus proactifs et automatisent chaque jour davantage la chaîne d’attaque, ce qui rend la prévention et les réponses précoces encore plus cruciales.

Il est temps de repenser la cybersécurité

En matière de cybersécurité, une intervention tardive qui stoppe la propagation d’une cyberattaque à la dernière minute peut parfois faire beaucoup de bruit, alors que le travail de protection continu passe le plus souvent inaperçu. L’atténuation des cybermenaces devrait être tout sauf spectaculaire. Elle doit être réfléchie, préventive et, lorsqu’elle fonctionne bien, totalement invisible.

Les SOC doivent, dès maintenant, modifier leur approche et devenir plus proactifs et mettre en place une détection et une atténuation proactive des menaces émergentes. Cette démarche doit être rapide, efficace et précise. Plutôt que de prolonger un incident dans le but d’en apprendre plus, les analystes des SOC ont parfois intérêt à l’isoler rapidement pour le rendre inoffensif et éviter qu’il ne se propage.

Les SOC peuvent utiliser des solutions automatisées pour détecter ces menaces émergentes mais aussi pour les contenir, et ce avec un minimum d’intervention humaine. La clé du succès réside dans une plateforme autonome, intégrant des solutions qui communiquent entre elles et dont les fonctionnalités sont complémentaires.

Les meilleurs héros ne travaillent pas plus mais plus intelligemment !

Cela signifie-t-il que les analystes doivent renoncer à leur statut de héros ? Pas du tout. En utilisant l’automatisation pour les tâches manuelles et répétitives, les analystes ont alors plus de temps pour se consacrer à des activités à forte valeur ajoutée. Avec de solides compétences et une grande perspicacité, ils peuvent même devenir de véritables enquêteurs, en se concentrant sur la chasse aux menaces basée sur des hypothèses.

Les analystes qui optent pour des solutions automatisées peuvent se libérer des tâches ordinaires et se concentrer sur des actions plus « créatives ». Avec une approche plus stratégique et plus de confiance dans les nouvelles solutions, les SOC pourront rester les héros de la cybersécurité, mais à long terme, pas uniquement le temps d’une journée !