Dans notre vie quotidienne, de nombreux objets sont déjà automatisés, des appareils intelligents dans nos cuisines à nos voitures bardées de capteurs. Aujourd’hui et encore plus dans le futur, il sera difficile de trouver quelque chose qui ne puisse pas être un minimum automatisé.

Si nous transférons la question au monde de l’entreprise, l’automatisation est encore plus présente. Des processus commerciaux et des applications SaaS à l’automatisation plus complexe des réseaux et du cloud, l’entreprise numérique est déjà une réalité. Alors pourquoi a-t-on parfois l’impression que la cybersécurité a un train de retard en la matière ?

Les cybercriminels exploitent déjà l’automatisation pour diffuser des campagnes de malware et de phishing, bénéficiant ainsi des avantages de scalabilité, de vitesse et de répétabilité pour gagner en efficacité. En conséquence, ce type d’attaque complexe est de plus en plus fréquent, faisant s’arracher les cheveux aux équipes en charge de la sécurité, accablées par des processus répétitifs et des recherches fastidieuses sur les faux positifs. En d’autres termes, les ressources et le temps manquent pour suivre le rythme.

L’automatisation en réponse aux cybermenaces

Automatiser la sécurité est une clé. Il deviendrait ainsi possible de réduire le nombre de tâches monotones qui font perdre un temps précieux aux ingénieurs, tout en garantissant qu’elles sont toujours effectuées, indépendamment de leur fréquence ou quantité. Les équipes pourraient se concentrer sur d’autres tâches plus stratégiques, tout en garantissant le fonctionnement, la sécurité et la conformité du réseau.

On ne saurait trop insister sur l’importance d’utiliser l’automatisation de la sécurité pour lutter contre les cybermenaces permanentes et multiples. Les malware qui se dissimulent pour rester en mode furtif jusqu’à ce qu’ils atteignent leur cible sont un exemple de menaces auxquelles les entreprises sont confrontées. IBM l’a démontré avec son programme DeepLocker, intégré dans un logiciel de vidéoconférence, qui ne se déclenche que lorsque la personne ciblée est vue par la caméra.

L’automatisation de la sécurité permet également d’améliorer la situation à cet égard : de la surveillance des comportements inhabituels ou des mouvements de données à la création de règles pour le réseau, les possibilités sont infinies.

Voici quelques points clés à garder à l’esprit lorsque vous déployez cette technologie :

    • Chaque jour, les analystes réseau reçoivent des centaines d’alertes, dont la plupart sont bénignes. Cependant, ils doivent en permanence rester vigilants aux menaces qui peuvent être plus graves. L’automatisation de cette tâche réduit le nombre d’alertes qui doivent être examinées, ce qui augmente l’efficacité des analystes et réduit le risque de manquer une alerte importante.
    • La lassitude des analystes peut être accrue par la répétition de certaines tâches. Toute alerte a trois états possibles : bonne, nuisible ou inconnue. Les mêmes actions sont répétées à l’infini, augmentant le risque d’erreur. L’automatisation peut utiliser des règles basées sur une expérience passée pour déterminer si une action est nécessaire. Seules les alertes qui nécessitent une recherche plus approfondie sont ainsi signalées.
    • Si une alerte est jugée nuisible, un analyste doit enquêter et comprendre ce qui s’est passé et quels correctifs mettre en place. Même les alertes les plus complexes nécessiteront des actions communes et répétitives pour mettre en place des correctifs. Cela peut inclure la mise en quarantaine des dispositifs infectés par des malware ou la suppression des tentatives de phishing. Bien que l’automatisation de la sécurité ne puisse pas encore être utilisée pour détecter ces attaques, elle peut être utilisée pour effectuer les actions répétitives et permettre à l’analyste de passer à une autre tâche.

Sachant que l’automatisation de la sécurité peut réduire considérablement la charge de travail de l’équipe SOC, qu’en est-il du machine learning et de l’intelligence artificielle (IA) ? Simples buzzwords ou réels moteurs de la cybersécurité de demain ?

Nous n’en sommes qu’au début, mais le machine learning et l’IA sont déjà des outils essentiels dans la lutte contre la cybercriminalité et de nombreux experts prédisent que ces technologies domineront bientôt le paysage de la cybersécurité. Il y a un besoin évident d’améliorer la capacité de la sécurité automatisée à fournir une analyse plus claire, à reconnaître les comportements et les modèles et à aider les analystes à résoudre les problèmes. Combinés, le machine learning et l’intelligence artificielle contribuent à réduire l’effort humain et rendent la cybersécurité plus rapide, plus cohérente et plus précise.

Si la cybersécurité traditionnelle utilise les données des solutions de sécurité pour être dans une position dominante, le machine learning s’appuie sur les données pour comprendre où une menace peut tenter de pénétrer le réseau. En étendant cette approche pour exploiter non seulement les données de sécurité, mais également celles provenant des switches et des routeurs, la  sécurité est encore améliorée. La sécurité étant intégrée à partir de la périphérie du réseau et dans toute l’infrastructure, les menaces pesant sur les données et les points d’accès sont considérablement atténuées.

L’étendue des possibilités de l’intelligence artificielle et du machine learning en matière de cybersécurité est encore loin d’avoir été exploitée. Mais d’ici là, il est déjà intéressant de regarder de plus près comment ces technologies peuvent rendre les équipes de sécurité plus efficaces et améliorer votre posture en matière de gestion des données.
___________________

Par Laurence Pitt, directeur de la stratégie de sécurité chez Juniper Networks