Vers une cyber-résilience collective : renforcer la protection des entreprises via un SOC automatisé et le partage d’intelligence

La guerre en Ukraine est aussi une bataille technologique. Depuis le début de l’offensive, de nombreuses cyberattaques se sont multipliées pour déstabiliser les grandes institutions du pays. L’action militaire en elle-même a été précédée par la propagation de logiciels malveillants très destructeurs de type wiper, rapidement suivi par une vague d’attaques par déni de service distribué (DDoS). Aujourd’hui, l’Occident tremble en se préparant à une éventuelle vague de cyberattaques russes en réponse aux sanctions internationales qui lui ont été imposées. Au cœur de notre espace numérique qualifié de « sans frontières » par l’ANSSI, le renforcement de la vigilance cyber au sein d’une démarche collective est un prérequis. Pour aller à l’encontre d’un paysage de menaces toujours plus complexe, l’heure est à la transformation des unités de sécurité internes des entreprises ou SOC traditionnels ainsi qu’au renforcement du partage d’intelligence entre acteurs du marché.
(Crédits : DR)

Les craintes de cyberguerre en Ukraine se nourrissent d'une longue histoire d'attaques internationales coordonnées par la Russie. On a tous en mémoire le virus NotPetya, un malware particulièrement destructeur lancé initialement contre l'Ukraine en 2017 et qui s'est finalement propagé dans le monde entier. De leur côté, des attaques comme SolarWinds ont démontré leurs puissantes capacités de compromission d'écosystèmes tout entiers en se servant d'une chaîne d'approvisionnement logicielle moins bien protégée.

Le constat est simple : les menaces de sécurité évoluent plus rapidement que les technologies de protection. Encore plus exacerbé par la politique internationale, cet enjeu majeur doit faire prendre conscience aux entreprises mondiales que la réponse aux cybermenaces et le renforcement de la cyber-résilience ne peuvent dépendre uniquement de leur seule responsabilité ou de celle des gouvernements.

À ce titre, des acteurs comme Palo Alto Networks, leader mondial dans le domaine de la cybersécurité, façonnent des réponses innovantes aux défis de la sécurité. Leurs solutions sont intégrées par Nomios, partenaire stratégique de Palo Alto Networks en EMEA depuis 2020.

Passer de solutions de sécurité silotées à une intelligence du partage

Pour protéger leurs actifs, les organisations investissent dans des processus, des technologies ainsi que dans le recrutement de ressources qualifiées. Si les innovations IT successives sont autant de pierres à l'édifice de la posture de défense de l'entreprise, leur effet aura été finalement aussi de démultiplier les outils internes, apportant au fil des années de la complexité via des couches disparates et des défauts d'interopérabilité. Une stratégie cyber sécurité exclusivement axée sur l'interne est donc une stratégie vouée à l'échec.

Notre paysage numérique sans frontières doit en effet nous faire envisager une approche fondée sur des efforts de coopération internationale et le partage d'intelligence. De puissantes organisations existent : par exemple, Unit 42, une alliance de chercheurs en menaces de renommée mondiale qui distribue ses services dans les domaines des cybermenaces complexes, des ransomwares et de l'espionnage parrainé par des États-nations. On peut également citer la Cyber Threat Alliance (CTA), une organisation à but non lucratif travaillant à l'amélioration de la cybersécurité de l'écosystème numérique mondial, et qui partage en continu des cyber renseignements avec les autres parties prenantes du marché.

Ces deux exemples sont la parfaite illustration de la façon dont la communauté technologique mondiale tire parti de ses ressources pour développer les connaissances des entreprises, identifier des vulnérabilités Zero Day n'ayant fait l'objet d'aucune publication ou de correctif au sein du marché et limiter ainsi la propagation des menaces. L'Union fait la force !

La mort du SOC traditionnel

D'après une étude ESG 2019, 42% des organisations aux Etats-Unis utilisent entre 10 et 25 outils de sécurité et 26% en en recenseraient même jusqu'à 503¹ ! ! Ces données, laissent présager du quotidien anxiogène et chronophage des responsables sécurité des entreprises entravant leurs capacités à garder une longueur d'avance sur les cybermenaces avancées, tout particulièrement dans un contexte complexe de multicloud, de croissance exponentielle des terminaux et de travail hybride.  Et à l'égard des 1.8 millions de postes vacants d'ici 2022², en travaillant aussi avec des équipes réduites !

Souvent dans les grandes entreprises, les experts sécurité travaillent au sein de SOC, ces centres internes d'opérations de sécurité s'appuyant sur des solutions de gestion des informations et des événements de sécurité (SIEM) pour détecter, analyser et remédier aux menaces en quasi-temps réel.

Pourtant, face à la complexité du paysage des menaces et à l'offensive de cyber criminels toujours plus déterminés, les SOC ont atteint leur limite en matière de flexibilité et d'évolutivité et ne peuvent suivre la cadence de la transformation digitale des entreprises. Avec des dizaines d'outils indépendants de sécurité à piloter, une avalanche d'alertes et de faux positifs (en moyenne 11 000 alertes par semaine à traiter²) et des tâches répétitives sans réelle valeur ajoutée humaine, le SOC traditionnel doit rapidement évoluer.

Une détection et une réponse aux incidents de sécurité automatisées, alliées à de l'intelligence humaine

Pour simplifier les investigations mais aussi améliorer la précision des analyses, un SOC résilient et efficace doit offrir des opérations automatisées de détection et de réponse aux incidents. Aujourd'hui, avec la sophistication continue des attaques, le temps de réaction est une valeur plus que stratégique.

À travers un monitoring automatisé des incidents et des événements critiques (modifications suspectes du trafic de données, signaux faibles liés aux menaces furtives, identification de la cible des attaques, ...), la détection va permettre d'agréger de multiples sources de données issues de l'entreprise, qui elles-mêmes, corrélées à des informations externes sur les menaces, vont accélérer la détection d'activités malveillantes dans l'ensemble de l'organisation.

L'automatisation de différents aspects de la détection accélère de facto les investigations ; les analystes apportant à ces données leur expérience et intuition, les contextualisant à l'aide de sources externes comme la base de données communautaire MITRE ATT&CK® par exemple, un cadre de référence pour l'interprétation des modes opératoires des cybers assaillants.

Enfin, riche de ces éléments, le SOC est prêt à mettre en œuvre des actions de remédiation automatisées, autrement dit, d'activer rapidement un plan de réponse rodé dès la détection d'une attaque, comme la mise à jour automatique des signatures et des politiques de sécurité internes, la désactivation automatique d'un compte utilisateur, ...

Toutes ces actions sont donc rendues possibles par la mise en œuvre de solutions SOAR, celles-là même qui vont orchestrer et répondre aux incidents de sécurité de manière automatisée, tout en centralisant les actions afin de réduire la complexité des investigations, mais aussi par des solutions XDR - ou de détection et réponse étendues en français - qui vont ajouter aux outils SOAR des fonctionnalités SIEM d'intégration, de normalisation et de corrélation des alertes.

Autant de solutions éprouvées qui, associées à l'intelligence humaine, vont permettre de simplifier les opérations, réduire le bruit et bloquer les attaques plus rapidement, pour construire le profil d'un nouveau SOC augmenté, prêt pour la bataille : le modern SOC !


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
1. ESG Research Report: The rise of cloud-based security analytics and operations technologies, Enterprise Strategy Group, 23 décembre 2019,

2 The State of security Operations Report, 2021 Forrester research

Par Stéphane Landié, SE Manager Cortex France, Palo Alto Networks

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.