Automatisation de la cybersécurité : uniformiser les règles du jeu

Par Leonard Kleinman, Field Chief Technology Officer (CTO) ) Cortex pour Palo Alto Networks JAPAC

Beaucoup de choses remettent en question la façon dont nous pratiquons la cybersécurité de nos jours. La transformation numérique a entraîné une adoption importante de nouvelles technologies et de nouveaux modèles commerciaux, notamment des solutions cloud, des plateformes de commerce électronique, des appareils intelligents et une main-d’œuvre beaucoup plus distribuée. Celles-ci, à leur tour, ont entraîné une augmentation des nouvelles menaces, des risques et de la cybercriminalité.

Au fur et à mesure que les organisations émergeront après la pandémie, de nombreux risques et incertitudes manifestés au cours de cette période persisteront, notamment la main-d’œuvre hybride, le risque de la chaîne d’approvisionnement et d’autres défis en matière de cybersécurité.

Examinons certains de ces défis en matière de cybersécurité et comment l’automatisation peut uniformiser les règles du jeu.

Problème : pas assez de talents en cybersécurité

Un contributeur majeur à la vague croissante de cyberattaques est le manque de personnel qualifié en cybersécurité. Le nombre global de praticiens expérimentés en cybersécurité dans le monde est faible par rapport à la nécessité pour ces praticiens de gérer les cybermenaces qui se manifestent dans tous les secteurs industriels. Alors que la demande de praticiens continue d’augmenter, la croissance du nombre réel est faible, ce qui entraîne un déficit croissant entre la demande et l’offre.

Cela contraste considérablement avec le marché mondial de la cybersécurité, qui devrait se développer à un rythme composé avec une demande accrue de solutions et de produits. Le nombre croissant de cyberattaques, les changements de transformation numérique et les pénuries de talents contribuent à cette croissance, et les organisations devraient acquérir/déployer des solutions de sécurité plus avancées pour détecter, atténuer et réduire le risque de cyberattaques.

Automatisation, IA et vocation

Les systèmes d’automatisation sont partout – des simples thermostats dans nos maisons aux ventilateurs d’hôpitaux – et bien que l’automatisation et l’IA ne soient pas les mêmes choses, beaucoup a été intégré de l’IA et de l’apprentissage automatique (ML) dans les systèmes de sécurité, leur permettant d’apprendre, de détecter, et arrêter automatiquement les menaces de cybersécurité. Ainsi, au lieu de simplement nous alerter d’une menace, un système automatisé serait en mesure d’agir pour la neutraliser.

À la base, l’automatisation a un seul objectif : permettre aux machines d’effectuer des tâches répétitives, chronophages et monotones. Ceci, à son tour, libère notre rare talent humain pour se concentrer sur des choses plus importantes ou simplement sur des choses qui nécessitent une touche humaine. Le résultat est une main-d’œuvre cybernétique plus efficace, rentable et productive.

Même les acteurs de la menace sont eux-mêmes utiliser l’automatisation pour faciliter leurs attaques. Le ver MyDoom, l’un des logiciels malveillants qui se propagent le plus rapidement sur Internet, utilise l’automatisation pour se propager et aurait causé environ 38 milliards de dollars de dégâts. Il se répand toujours, mais la partie surprenante est que MyDoom n’est pas nouveau. Sorti en 2004, on peut encore le voir troller sur Internet.

Une crainte persistante en matière de cybersécurité est que l’automatisation est là pour remplacer les humains. Bien que quelque peu justifiée, la réalité est que l’automatisation est là pour augmenter les effectifs humains dans l’exécution des opérations de sécurité et, dans certains cas, aider les organisations à compléter et à combler le manque croissant de talents. Aussi avancée qu’elle puisse être perçue, l’automatisation sera toujours dépendante de l’homme, entièrement configurable et sous la supervision de l’équipe de sécurité. Au contraire, l’automatisation et l’IA font émerger de nouveaux rôles en matière de cybersécurité tels que Algorithm Bias Auditor ou Machine Risk Officer.

Les avantages de l’automatisation

L’automatisation peut faire beaucoup de choses, de la détection des menaces potentielles au confinement et à la résolution des menaces. Ces actions ne prennent que quelques secondes et sont largement indépendantes de l’intervention humaine. Fournie via l’orchestration, l’automatisation et la réponse de la sécurité (SOAR), l’automatisation donne aux SOC un coup de pouce significatif dans l’exécution, améliorant considérablement la productivité et la réponse. Le rapport sur le coût d’une violation de données 2022 met en évidence le rôle de l’automatisation dans la réduction de moitié du coût d’une violation de données et la réduction du temps d’identification et de confinement de 77 jours.¹

L’orchestration offre la possibilité d’activer les nombreux outils de votre environnement opérationnel, en les connectant de manière transparente via des playbooks pour entreprendre des actions spécifiques. Cela permet un processus de réponse cohérent et reproductible ainsi que toutes les informations nécessaires pour votre cyber-praticien, le tout en un seul endroit.

Des gains d’efficacité supplémentaires sont dérivés de la IA/ML moteur dans SOAR, qui peut apprendre les attributs des alertes et utiliser ces connaissances pour prévenir de futures attaques. Chaque alerte et événement géré est appris à partir d’objectifs futurs. L’automatisation joue un rôle important en permettant une capacité de cybersécurité agile et proactive.

Plus important encore, l’automatisation offre une meilleure qualité de vie à votre équipe de cybersécurité, réduisant la fatigue et la frustration liées aux alertes et leur redonnant un temps précieux. À l’ère de la Grande Démission, la rétention est devenue un enjeu important.² La fidélisation du personnel vous permet d’augmenter votre retour sur investissement sur les personnes, en reconnaissant les investissements importants que font les organisations grâce au recrutement, à la formation continue et aux connaissances tacites acquises sur le tas.

L’automatisation aide les organisations à relever le défi des talents. Cela permet également un meilleur retour sur investissement sur vos outils et technologies actuels, en les intégrant dans le processus d’orchestration.

Où commencer?

Une condition préalable à l’automatisation commence par la collecte et corréler des données. Tout bon système d’automatisation nécessite de bonnes données pour fonctionner efficacement. Plus il y a de sources de données, meilleure est la qualité des opérations.

Visez à collecter des données de tous les aspects de votre environnement d’entreprise, tels que les terminaux, le réseau et le cloud. Le système AI/ML au sein de la plate-forme d’automatisation facilite l’analyse et la corrélation de toutes ces données. Ces deux composants rendent possible l’automatisation de la cybersécurité.

Ensuite, analysez vos procédures opérationnelles standard (SOP) actuelles, en recherchant les activités/processus récurrents, ceux qui réduisent la charge de travail et le risque d’une alerte ignorée. Recherchez des tâches qui ne s’écartent pas ou ne varient pas de manière imprévisible. Ce sont des candidats de choix pour l’automatisation.

Maintenant, identifiez les outils qui doivent être orchestrés au sein de ces processus, ainsi que les API requises (ou créez-les) pour activer les intégrations.

Enfin, créez votre playbook. Cela vous donne le contrôle sur le processus, vous offrant la possibilité de reproduire et d’améliorer systématiquement le processus au fil du temps. Incluez toutes les actions spécifiques dont vous avez besoin, le ou les outils à effectuer et toute autre tâche supplémentaire, par exemple, bloquer, notifier, contenir, etc.

Ne laissez pas tomber l’automatisation

La cybersécurité est essentielle pour toute entreprise dans un monde transformé numériquement, protégeant les données de l’entreprise, ses employés et ses clients. Cependant, la simple mise en œuvre de la cybersécurité ne suffira pas car nos adversaires continuent d’innover et d’être plus astucieux dans leur approche.

Alors que les organisations continuent de poursuivre des initiatives de transformation numérique associées aux avancées technologiques, l’automatisation de la cybersécurité n’est pas seulement recommandée, elle est obligatoire pour uniformiser les règles du jeu.

En savoir plus sur le avantages de la consolidation.

1. Rapport sur le coût d’une violation de données 2022, IBM Security, juillet 2022.

2. Paula Morgan, « Les cinq meilleurs conseils pour retenir les employés pendant la grande démission », Forbes, 4 août 2022.

À propos Léonard Kleinman:

Len Kleinman est le directeur technique de terrain (CTO) – Cortex pour Palo Alto Networks JAPAC, se concentrant sur les secteurs critiques de l’industrie tels que le gouvernement, la banque et la finance, les services publics et l’éducation. Sa mission est de travailler avec les dirigeants et les parties prenantes de l’entreprise pour faire de la sécurité une priorité stratégique qui se traduit par une valeur commerciale et aider au développement d’une culture de cybersécurité basée sur les risques visant à protéger nos vies numériques.