Derrière les fantasmes : la réalité de l’automatisation en cybersécurité opérationnelle

12 mai 2023 5 min de lecture
Automatisation en cybersécurité

L’automatisation en cybersécurité opérationnelle est une réalité indéniable. Mais elle est trop souvent perçue comme la réponse magique face à l’avancée des cyberattaquants. Certains aiment aussi entretenir le mythe pour cacher les limites de l’automatisation, qui peut lourdement endommager la qualité de service. Advens promeut sa vision singulière de l’automatisation et la met en pratique à travers son Security Operations Center (SOC).

L’automatisation dans la cybersécurité opérationnelle : stop aux fantasmes

En cybersécurité, l’automatisation est souvent réduite à un concept marketing – qui se résume au SOAR. Elle constitue l’ensemble des actions autrefois réalisées manuellement par des analystes cyber qui sont aujourd’hui automatisables. Opter pour l’automatisation dans la cybersécurité opérationnelle est devenu capital pour :

  • Traiter et répondre rapidement à certains incidents de sécurité lorsque chaque minute compte (comme dans le cas d’une attaque par ransomware),
  • Optimiser le temps passé par les experts et lutter contre la cyberfatigue (limiter les tâches fastidieuses, répétitives et sous temps contraint).
Bannière baromètre SOC

Fortes attentes vs. promesses : un cercle qui peut-être vicieux

Face à la menace croissante et à des attaques de plus en plus rapides et sophistiquées, les entreprises ont des attentes de plus en plus fortes vis-à-vis de leur protection cyber – et notamment sur le temps de réaction (identification et réponse à incident) et la pertinence des alertes (limitation des faux positifs).

En réponse, les éditeurs ont tendance à proposer… des solutions miracles. Qui ont forcément du mal à tenir leurs promesses. Ces solutions un peu survendues servent surtout à outiller les analystes pour trier et qualifier plus facilement l’alerte, mais moins souvent pour répondre à l’incident. 

Trois limites de l’automatisation en cybersécurité

#1 Limites techniques

Détecter, qualifier et identifier, ce sont des actions automatisables en grande partie. Mais pour accomplir des actions de remédiation, les solutions techniques des clients doivent être orchestrables, ce qui est facilité par la présence d’une API pour administrer la technologie ciblée. Il est aussi essentiel d’assurer la scalabilité de la solution d’orchestration, afin de savoir gérer un grand nombre d’automatisations.

Une solution On Premise, uniquement gérable via une interface graphique, est beaucoup plus compliquée à orchestrer à distance.

#2 Manque de contexte 

Pour pouvoir automatiser les prises de décision, il faut du contexte ainsi que des schémas et des modèles répétables et contrôlés. Mais il est quasi impossible d’avoir des référentiels de contexte exhaustif et à jour ! Les informations sont souvent éparpillées et incomplètes, voire uniquement dans la tête des sachants de l’organisation à protéger. Et l’automatisation de la cybersécurité opérationnelle, ce n’est pas (encore) de la télépathie.

#3 Processus d’approbation trop long

Définir des cas de réactions automatiques sur des périmètres ciblés et validés par le client, c’est possible. Mais cela nécessite souvent de demander une approbation pour agir concrètement.

Certaines boucles d’approbation ont besoin de faire intervenir plusieurs personnes : le contact principal n’a pas le mandat d’accepter, ou un tiers doit valider une information avant la prise de décision, etc.

La méthode Advens pour exploiter la puissance de l’automatisation

Une approche data-centric et automation by design

Pour Advens, la gestion d’un incident de sécurité est un processus qui se découpe en étape : chacune peut être optimisée. Les données de contexte et la Cyber Threat Intelligence (CTI) doivent être intégrées le plus en amont possible dans le processus de gestion de l’incident (approche data-centric), pour gagner du temps dans l’analyse et limiter le nombre de traitements d’alertes.

Pour optimiser un process, il faut aussi faire la chasse aux « gestes inutiles ». C’est le principe de l’automation by design : optimiser les workflows et automatiser les actions triviales, répétitives ou coûteuses des analystes.

C’est comme cela qu’Advens a conçu l’automatisation de son SOC pour que celui-ci s’intègre et apporte de la valeur à chaque étape du processus de réponse à incident (collecte, enrichissement, détection des menaces, qualification, communication, remédiation).

Synergie et intelligence collective

En industrialisant la CTI et la revue des plans de surveillance, Advens fait bénéficier à l’ensemble des organisations qu’elle protège une base de connaissances mutualisées.

La plateforme mySoc d’Advens est également orchestrable via des API. Elle donne la possibilité aux experts et analystes de créer des automatisations sur des gestions métiers ciblées – ils sont donc à la fois acteurs et concepteurs de la solution.

L’approche Advens : 4 avantages pour les utilisateurs finaux

  1. Un processus de gestion de l’incident de sécurité optimisé à chaque étape,
  2. Des délais plus courts de qualification et remédiation,
  3. Un taux de faux positifs réduit,
  4. Une vision adaptative et évolutive de la cybersécurité : quand d’autres périmètres devront être sécurisés, ou que de nouveaux algorithmes arriveront, les entreprises pourront les intégrer naturellement dans leur processus de sécurité car celui-ci sera prévu pour.

« Quand on pense automatisation de la cybersécurité opérationnelle, il faut intégrer l’intégralité de la chaîne de traitement, de l’enrichissement de la donnée collectée aux gestes de remédiation. Chez Advens, c’est rendu possible par l’approche data-centric et automation by design de notre plateforme. »

Mickaël Beaumont Mickaël BeaumontProduct Manager chez Advens

Des attaques toujours plus agressives et en constante augmentation exigent de l’automatisation. Mais ce n’est pas une solution miracle ! La détection et la gestion de l’incident peuvent être automatisées mais les actions de remédiation doivent être guidées par l’humain. Et le contexte de la donnée, l’intelligence collective et l’excellence opérationnelle sont indispensables pour y parvenir. C’est le cœur du fonctionnement de la solution mySOC d’Advens.

Une partie de cet article est parue dans le numéro 27 de Cyberun en janvier 2023.