Les événements de ces dernières semaines et de ces derniers mois ont mis les RSSI et les équipes de sécurité informatique à rude épreuve, les obligeant à redoubler d’efforts pour protéger leurs réseaux suite à une hausse du télétravail. Les entreprises qui avaient déjà pris des mesures en faveur du travail à domicile ont sans doute franchi ce cap sans difficulté. Mais pour celles habituées à surveiller, contrôler et protéger les machines depuis la sécurité relative d’un réseau restreint à un seul site, le changement a été radical.
Face aux pressions extrêmes exercées sur les ressources, les RSSI doivent s’assurer qu’ils pourront continuer à protéger leurs réseaux tout en utilisant leurs budgets à bon escient, en particulier au vu du coup dur porté à la trésorerie d’un grand nombre d’entreprises. Compte tenu de la multiplicité des risques, ils chercheront à en endiguer un maximum, ce qui impliquera le recours à diverses technologies de sécurité, telles que la gestion des accès à privilèges, la surveillance du Cloud et du réseau, la protection des endpoints, ainsi que la défense du périmètre.
Les fournisseurs de cybersécurité peuvent faciliter ce processus en collaborant entre eux pour permettre à leurs solutions de fonctionner et de s’intégrer avec celles de leurs homologues.
La nécessité d’une sécurité globale
Les cybercriminels se livreront à toute une série d’attaques pour infiltrer les réseaux informatiques. Les entreprises auront donc intérêt à s’appuyer sur des solutions de sécurité informatique aussi complètes que possible. Dans le cas contraire, elles ouvriront d’importantes brèches dans leurs défenses, dont les cybercriminels ne manqueront pas de tirer avantage. Par exemple, les exploits qui opèrent sous le système d’exploitation, au niveau du firmware des appareils, peuvent mettre à mal les solutions de détection et de réponse aux menaces sur les endpoints (EDR), comme ce fut le cas des exploits prétendument dérobés à l’Equation Group, une équipe de cyberespionnage liée à la NSA, par le collectif de hackers Shadow Brokers. Pourtant, une solution de détection et de réponse aux menaces réseau (NDR) serait tout à fait capable de détecter de tels malwares et d’agir en conséquence.
Afin de créer une solution complète, les RSSI s’adressent très souvent à différents fournisseurs pour remplir des fonctions spécifiques au sein de l’architecture de sécurité de leur entreprise. L’achat d’éléments séparés de la pile technologique de sécurité est également un moyen pour les entreprises d’obtenir la meilleure solution ou celle qui répond le mieux à une exigence particulière en matière de sécurité. Un fournisseur de sécurité peut, par exemple, proposer une excellente solution de pare-feu de nouvelle génération (ngFW), mais une plate-forme de protection des endpoints (EPP) insatisfaisante. En achetant une solution ngFW et une solution EPP auprès de deux spécialistes distincts, l’entreprise a plus de chances de trouver exactement ce qu’elle recherche et les spécialistes de répondre à ses besoins spécifiques.
Les défis de l’interopérabilité
La création d’un système de sécurité à partir de composants hétérogènes pose la question de leur interopérabilité. Par exemple, l’équipe de sécurité devra peut-être se connecter à des systèmes distincts pour corréler des informations susceptibles de l’aider à identifier une attaque. Naviguer d’un système à l’autre représente un temps précieux que les équipes de sécurité informatique ne peuvent pas se permettre de perdre. Certaines d’entre elles reçoivent chaque jour plusieurs milliers d’alertes à traiter. En les passant en revue manuellement et en interrogeant les différents composants de leur système de sécurité, l’équipe joue souvent le rôle de « middleware humain ». Des incidents échapperont inévitablement à sa vigilance et les cybercriminels passeront à travers les mailles du filet, du moins avant la mise en œuvre de mesures de confinement.
L’une des réponses au problème consiste à assurer une interopérabilité transparente de ces solutions technologiques disparates et à automatiser la comparaison des résultats issus de différentes sources pour identifier les menaces potentielles. C’est aux fournisseurs qu’incombe la responsabilité de créer des solutions à même de fonctionner les unes avec les autres. Cela passe notamment par l’utilisation d’une interface de programmation d’application (API) commune garantissant l’interopérabilité des outils. Les API ne constituent toutefois pas la seule solution, ni la plus complète, car elles nécessitent l’orchestration des interactions et l’établissement de connexions, une opération qui peut se révéler longue et inefficace.
La collaboration dans la pratique
Pour déterminer avec quelles solutions intégrer les leurs, les fournisseurs doivent examiner l’offre du marché et identifier les produits efficaces porteurs de valeur ajoutée. Il est ensuite indispensable de commencer à nouer des alliances avec des partenaires potentiels et de s’assurer que le partenariat sera mutuellement bénéfique (intégration de solutions de détection et réponses aux incidents au niveau du réseau – NDR – avec des solutions de détection et réponses au niveau des endpoints – EDR – par exemple). Ce type de partenariat est bénéfique pour les utilisateurs : lors de la réponse à un incident ou de la recherche d’une menace, chaque solution offre une perspective que l’autre est incapable d’apporter, ce qui donne une vue complète sur le réseau de l’entreprise.
D’aucuns diront que l’achat d’une solution complète couvrant tous les aspects de la sécurité, depuis les outils EDR et NDR jusqu’à la gestion des accès à privilèges (PAM), en passant par le renseignement sur les menaces, est la réponse aux problèmes de compatibilité. Ce n’est pas toujours le cas. Très souvent, ces offres se composent de produits préexistants dont le fournisseur a hérité à la suite de divers rachats. Il peut en résulter d’importants problèmes d’interopérabilité non encore résolus par le fournisseur.
En déployant plusieurs solutions compatibles entre elles, les RSSI sont en mesure de comparer les données de différents composants afin de distinguer les simples anomalies des attaques réelles. Par exemple, le modèle « SOC Visibility Triad » fournit une visibilité totale sur le réseau local, le Cloud et les applications SaaS, tout en exploitant les modèles de comportement des attaquants pour détecter les menaces connues et inconnues. Le haut niveau de visibilité du SOC permet aux équipes de sécurité d’être plus attentives aux menaces, d’y répondre avec davantage d’agilité et de réduire ainsi les risques d’intrusions non détectées dans les réseaux d’entreprise. Cela peut faire toute la différence entre une faille de sécurité fatale et un incident maîtrisé.
L’avenir de l’intégration et de la collaboration
L’intégration entre les solutions a beaucoup progressé ces dernières années, mais il faut aller encore plus loin et davantage de fournisseurs doivent travailler ensemble. En renforçant l’interopérabilité des produits, les fournisseurs apportent une plus grande valeur ajoutée à leurs clients grâce à des systèmes de sécurité complets et plus efficaces qui offrent une meilleure protection, limitent le stress, et aident les équipes à travailler plus intelligemment plutôt que plus durement.
___________________
Par Christophe Jolly, Directeur France de Vectra AI
puis