Les 5 grands défis de 2020
Face à la pénurie de talents en cybersécurité, les RSSI cherchent des solutions. Outre l’augmentation du nombre de personnes formées, la technologie les aide à faire face à l’urgence.
Jamais sur un salon informatique les étudiants n’ont été autant attendus par les entreprises que sur le Forum International de la Cybersécurité. De nombreux challenges, Bug Bounty et autres événements ciblaient plus particulièrement les jeunes et de nombreux stands, à commencer par ceux de Carrefour, d’Engie, de Bouygues ou de Naval Group n’étaient fondamentalement destinés qu’à glaner quelques CV. Les entreprises françaises, ont beaucoup de mal à recruter suffisamment d’experts. De nouveaux cursus de formation se sont mis en place afin d’accroître le nombre de jeunes formés. L’Epita qui a créé une structure de formation continue Securesphere by Epita compte rallier le projet de Campus Cyber de Michel Van Den Berghe. D’autre part, avec 47 formations labellisées CyberEdu, l’Afpa est devenue le premier opérateur de formation en cybersécurité en France.
SOAR et IA : traiter les milliers d’incidents
Mais outre ces efforts, les entreprises veulent mieux utiliser les ressources humaines dont elles disposent et concentrer l’action de leurs analystes sur des tâches à plus forte valeur ajoutée que le tri de milliers d’alertes à longueur de journée. Les professionnels placent beaucoup d’espoir dans l’approche Data Lake et la mise en œuvre d’algorithmes de Machine Learning afin d’écrémer l’immense majorité d’événements de sécurité sans danger. Un pas supplémentaire en termes d’automatisation pourra ensuite être réalisé au moyen du SOAR (Security Orchestration, Automation and Response). Eric Antibi, directeur technique de Palo Alto, livre un exemple de gain de productivité que l’on peut espérer de ce type de solutions : « Un de nos clients qui a mis en œuvre la solution XDR est passé de 200 000 événements de sécurité à 2 000 événements à analyser par l’équipe de sécurité en 10 jours seulement. Cela ne suffit pas, car analyser autant d’événements demande énormément de travail a une équipe réduite. Il faut ensuite être capable d’automatiser au niveau des SOC une grande partie des traitements des incidents restants. Les analystes ne doivent plus passer du temps à traiter les mêmes faux positifs ou appliquer toujours le même processus sur des incidents bien connus. » L’éditeur propose une telle capacité d’automatisation avec son SOAR Demisto, une solution qui va traiter 80% de ces 2 000 alertes via des playbooks, des process préprogrammés et laisser le temps aux analystes de traiter la centaine d’alertes qui reste et analyser les signaux faibles.
SOC : les concepts de DevOps trouvent écho
Autre changement d’approche, celui prôné par Sopra Steria qui veut transposer l’approche agile dans les SOC. « Face à l’explosion du Cloud, des objets connectés, cette approche essentiellement manuelle n’est plus tenable. Il suffit d’une heure pour un ransomware pour chiffrer des fichiers d’une entreprise. Les analystes sont dépassés par l’ampleur des attaques » argumente Alexandre Cabrol Perales, MSSP Manager et responsable de l’innovation en cybersécurité de Sopra Steria. L’idée de l’ESN française est de faire un recours le plus systématique possible au niveau du SOC afin d’automatiser au maximum la réponse à incident. L’approche est très directement inspirée des pratiques DevOps, notamment avec un recours systématique au scripting afin de piloter les infrastructures de production. « La cybersécurité doit apprendre d’autres métiers qui sont plus en avance dans l’industrialisation des processus. Cela permet d’utiliser un même vocabulaire pour tous, avec des cas d’usage qui ne sont plus orientés développement, mais cybersécurité » ajoute l’expert. La solution s’appuie ainsi sur des repository de type Git/GitLab/GitHub, des solutions de déploiement continu CI/CD, des outils tels qu’Ansible/Terraform afin de fournir à l’analyste de sécurité une solution avec laquelle il va pouvoir décrire le comportement qu’il souhaite sous forme de script.
« C’est un grand changement de paradigme en matière de SOC. L’analyste se livrait à la détection, l’analyse puis la correction. Dorénavant, l’analyste observe la machine qui détecte, analyse et, à terme, devrait décider et agir. »
Alexandre Cabrol Perales, Sopra Steria