L’intégration de technologies de cybersécurité toujours plus complexes exige d’adapter les compétences internes et d’optimiser les ressources. Automatisation et simplification deviennent clés pour réduire les délais de réponse et alléger la charge opérationnelle. Mais comment trouver les justes équilibres ?
Il arrive bien souvent que nous achetions un produit pour répondre à un besoin bien précis et que ce produit offre finalement bien plus de fonctionnalités qu’on l’avait imaginé. Lorsque débute l’utilisation, on découvre alors que nous manquons d’expertise pour en tirer pleinement parti, ou que le produit est conçu de manière à rendre les tâches trop complexes pour un usage efficace.
Ce constat est également valable dans le milieu professionnel, où il est crucial d’examiner la facilité d’utilisation des outils de cybersécurité en entreprise.
Il y a plusieurs années, j’ai travaillé avec une organisation gouvernementale qui testait les premières technologies de sandboxing. Cette organisation a mené ses propres évaluations pour déterminer l’efficacité de chaque solution dans la détection des attaques inconnues. Les résultats étaient similaires en termes de détection, et l’organisation a donc conclu que toutes les solutions étaient équivalentes. Cependant, les résultats m’ont étonné, et j’ai décidé d’approfondir la méthodologie pour vérifier cette conclusion.
J’ai découvert qu’ils avaient uniquement testé la capacité de détection sans considérer le temps et les ressources nécessaires pour obtenir ces résultats. De plus, une équipe entière avait travaillé sur les tests, alors qu’une seule personne aurait suffi. Les aspects comme les vrais positifs et les faux positifs n’avaient pas été pris en compte, ce qui peut considérablement influencer le temps de détection.
Observation n°1 : Détections et résultats
Même si vous examinez vos propres tests ou ceux d’un tiers, les résultats et les détections trouvés seront les mêmes. Cependant, les niveaux de compétences et les capacités varient d’une organisation à l’autre. Lorsqu’elles envisagent une nouvelle technologie, les entreprises doivent évaluer leurs propres capacités techniques. Il est essentiel que les tests reflètent les conditions réelles d’utilisation et le personnel disponible.
Observation n°2 : Adéquation de la compétence et de la technologie
Le domaine technologique évolue rapidement, notamment en cybersécurité. L’EDR a évolué vers l’XDR, puis vers le SDR. À chaque étape, les connaissances techniques requises augmentent, de même que les compétences nécessaires pour en tirer toute la valeur. La plupart des organisations mesurent leur succès par le temps moyen de détection, de traitement et de réponse.
Observation n°3 : La visibilité
Les bons indicateurs ne sont pas toujours pris en compte. Quels autres critères les entreprises devraient-elles considérer pour évaluer la visibilité d’une technologie de cybersécurité par rapport à leurs besoins ? Il est important de se concentrer sur le COMMENT (le processus) et non seulement sur le QUOI (le résultat).
Certains RSSI que je connais partent du principe que pour chaque nouvelle technologie déployée, deux anciennes devraient être supprimées. Je me demande si nous pourrions progresser en appliquant un principe similaire aux aspects opérationnels de la cybersécurité. Pour chaque nouvel ajout, il faudrait réduire de moitié le temps nécessaire à l’accomplissement d’une tâche spécifique. Ce principe est difficile à appliquer, surtout avec l’accumulation constante de couches de complexité en cybersécurité.
Examinons quelques étapes clés et réfléchissons aux principales mesures pour améliorer l’efficacité opérationnelle des professionnels. En suivant ce processus, les experts en cybersécurité commenceront à se demander comment réaliser cette tâche manuellement. Est-il possible de l’automatiser, ou vaut-il mieux l’externaliser et adopter une solution gérée ? Chaque entreprise doit trouver la solution la plus adaptée.
_____________________________
Par Jean-Baptiste Guglielmine, SE Manager chez Cybereason
À lire également :
Le XDR : chevalier servant de la cybersécurité ?
Quelles sont les incidences juridiques d’une attaque par ransomware ?
Quatre raisons de déployer une solution XDR dès aujourd’hui
Il est temps de démystifier les idées fausses qui circulent sur le XDR