Le nombre d'outils de cybersécurité qui composent la pile de sécurité n'a cessé d'augmenter – il n'est pas rare aujourd'hui de trouver 75 à 100 outils déployés dans une entreprise moyenne. gérer cette pile s'avère difficile.
L'équipe de sécurité doit apprendre les nuances de chaque solution, se connecter et se déconnecter d'elles, et les tenir à jour. Par conséquent, les RSSI reconnaissent qu'ils tireraient plus d'avantages d'un meilleur contrôle de la pile que de l'achat d'outils supplémentaires.
Ces outils génèrent de nombreuses alertes, ce qui signifie que la pile contribue également à la fatigue des alertes. Le Global Incident Response Threat Report de VMware a révélé que 51 % des professionnels de la cybersécurité avaient subi un stress extrême ou un épuisement au cours de l'année écoulée, ce qui a conduit 67 % d'entre eux à prendre des congés. Mais la fatigue des alertes est également dangereuse car elle peut désensibiliser l'équipe, ce qui signifie que les menaces peuvent être mal catégorisées ou ignorées.
Les RSSI subissent eux aussi les conséquences de la cyber-pile hypertrophiée. Le rapport Implications of Stress on CISOs (Implications du stress sur les RSSI) a révélé que 94 % des RSSI se sentent stressés et que 65 % d'entre eux déclarent que cela compromet leur capacité à protéger l'organisation. La principale solution pour résoudre ce stress, telle qu'identifiée par 57 % des RSSI ? Consolider la pile en plaçant plusieurs technologies de sécurité sur une seule plateforme.
Réduire les coûts
La réduction de la complexité permet non seulement d'alléger la pression sur l'équipe de sécurité, mais aussi d'économiser les coûts liés aux licences, à la formation et à la maintenance. Cette solution est d'autant plus intéressante dans le climat économique actuel, où les coûts augmentent de plus en plus. Certaines entreprises choisissent par conséquent d'externaliser auprès d'un fournisseur de services de sécurité gérés (MSSP) afin de garder leurs coûts sous contrôle et de les rendre prévisibles.
Ce sont ces facteurs – la nécessité de réduire les risques, le stress et les coûts – qui poussent aujourd'hui les RSSI à se concentrer sur la réduction du nombre d'outils de cybersécurité dont ils disposent et du nombre de fournisseurs avec lesquels ils traitent. En 2020, seuls 29 % des RSSI poursuivaient une telle stratégie, mais ce chiffre est désormais passé à 75 % dans le but d'améliorer la posture de risque globale, de gagner en efficacité à l'échelle et d'éliminer la nécessité d'intégrer des outils distincts, selon Gartner.
La plupart d'entre elles cherchent à réduire le nombre de solutions ponctuelles, de fournisseurs et d'intégrations que l'équipe de sécurité doit maintenir. Mais il ne s'agit pas d'un nivellement par le bas, car choisir de combiner les technologies sur une seule plateforme peut permettre à l'entreprise de profiter de technologies plus pointues. Celles-ci peuvent être facilement intégrées à la plateforme, ce qui permet d'augmenter les fonctionnalités dont l'entreprise dispose déjà grâce à des solutions complémentaires.
Technologies complémentaires
Prends, par exemple, un Solution de gestion des incidents et des événements de sécurité (SIEM).. Ces solutions sont désormais généralement mappées au cadre ATT&CK de MITRE, ce qui leur confère des capacités de chasse aux menaces, mais celles-ci peuvent être encore améliorées. Il est possible d'utiliser l'apprentissage automatique et l'analyse comportementale de l'IA via User Entity Behaviour Analytics (UEBA), ainsi que la détection et la réponse automatisées via Security Orchestration Automation and Response (SOAR) (automatisation de l'orchestration de la sécurité et de la réponse)., par exemple.
L'UEBA fournit des informations contextuelles. Il applique des paramètres qui surveillent le comportement de l'utilisateur tout en autorisant des exceptions à la règle. Mais si une transgression se produit, il signale alors ce comportement pour qu'il fasse l'objet d'une enquête. Un bon exemple serait celui d'un utilisateur à qui l'on accorderait l'accès à certains systèmes de fichiers pendant une période spécifique. Tout accès en dehors de ces heures serait alors considéré comme suspect et déclencherait une alerte.
SOAR aide à détecter et à atténuer les menaces de manière plus précise, en diminuant le temps moyen de détection et de réponse (MTTD et MTTR) en cas de comportement suspect. Il stocke et hiérarchise les alertes et les données de sécurité provenant de plusieurs sources et systèmes et automatise la réponse aux incidents grâce à l'application de playbooks qui permettent ensuite à l'équipe d'enquêter, de contenir et de supprimer les menaces.
Quand moins veut dire plus
L'assimilation de ces technologies dans une plateforme singulière en complément du SIEM contribue à nous éloigner des solutions ponctuelles et à réduire la complexité. Mais les avantages ne s'arrêtent pas là. Chaque technologie complète mais aussi supplée l'autre pour fournir des informations beaucoup plus approfondies. Par exemple, plutôt que de traiter les alertes comme des signaux faibles d'une éventuelle compromission, l'intégration native de différents composants dans une plateforme convergente permet de fusionner les signaux faibles, de bénéficier d'informations contextuelles environnementales et situationnelles, puis de se concentrer sur ce qui compte le plus.
Le tableau de bord convergent offre également une vitre unique à travers laquelle surveiller en permanence l'ensemble du paysage informatique, ce qui permet au RSSI de visualiser, de gérer et de rendre compte plus facilement du patrimoine informationnel.
Mais en fin de compte, il contribue à stabiliser l'organisation, en allégeant les charges de travail et les. réduisant la fatigue due au stress., qualifier et concentrer l'attention sur les menaces qui comptent et diminuer les coûts de maintenance. De sorte que, loin de réduire le cyber domaine, nous devrions considérer la convergence comme un moyen de condenser et de concentrer les efforts en matière de sécurité.
Tim Wallen est directeur régional pour le Royaume-Uni, les États-Unis et les pays émergents chez Logpoint Image : Kaboompics
Tu pourrais aussi lire ce qui suit :
L'automatisation peut-elle aider à combler le déficit de compétences en Cybernétique ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
