Le terme « automatisation » a longtemps été un mot à la mode dans le domaine de la cybersécurité, avec une technologie qui promet tout : des logiciels de sécurité en pilotage automatique à des capacités d’intelligence artificielle qui feraient rougir Alan Turing, considéré comme l’un des pères de l’IA. Or, la réalité actuelle de l’automatisation est encore bien loin de l’IA véritable, et la majorité des processus de gestion de la sécurité nécessitent bien souvent une intervention humaine.

Pourtant, en raison de leur ampleur et de leur complexité, ces processus doivent être à même de tirer le meilleur parti de l’automatisation, que ce soit pour la collecte et la normalisation de données provenant de sources variées, l’analyse de ces dernières, l’alerte sur les nouveaux facteurs de risque, l’évaluation des options de réduction des risques, ou encore le suivi et le reporting. Afin de parvenir à automatiser ces processus efficacement, l’entreprise doit être en mesure d’accroître la visibilité de l’ensemble de la surface d’attaque et de fournir des renseignements contextuels. Sans visibilité ni contexte, l’automatisation permettra au mieux d’économiser quelques heures de travail dans la journée, mais ne parviendra pas à réduire les risques de cyberattaques qui pèsent sur l’entreprise.

Comment l’automatisation axée sur l’analytique, une approche qui combine visibilité, contexte et automatisation, peut-elle alors s’appliquer aux processus de gestion de la sécurité pour permettre aux entreprises de comprendre et de contrôler leur surface d’attaque ?

Se baser sur la collecte et la normalisation des données

Une bonne gestion de la sécurité commence par de « bonnes » données. Pour cela, il faut une collecte automatisée de données extrêmement variées provenant de différents types de technologies utilisées au sein de réseaux sur site, multi-cloud et de technologie opérationnelle (OT) et la normalisation et à la centralisation de celles-ci. La collecte et la normalisation cassent les silos et conférent aux données une certaine homogénéité, ce qui permet de simplifier l’analyse et de créer une « source de vérité unique » au sein d’environnements hétérogènes. Les bases de données centralisées doivent être mises à jour régulièrement en fonction des besoins de l’entreprise (tous les jours, au moment des changements ou ponctuellement). La modélisation automatique, qui permet d’obtenir une réelle visibilité de la surface d’attaque, et notamment des contrôles de sécurité, des réseaux hybrides, des actifs et des vulnérabilités, repose sur ces bases de données. La modélisation extrêmement précise et régulièrement mise à jour peut ensuite servir de support à toute une gamme d’analyses contextuelles, utiles à la gestion quotidienne de la sécurité.

Ne pas négliger évaluation et analyse

L’automatisation de la corrélation des données provenant d’ensembles disparates peut être appliquée à de nombreux processus, notamment :

– L’analyse de l’utilisation des règles (corrélation des fichiers de configuration avec les journaux Syslog) ;
– Les évaluations des vulnérabilités sans scan (corrélation des données de gestion des actifs et des correctifs ajoutées aux données de configuration avec les bases de données des vulnérabilités) ;
– L’analyse des vulnérabilités (corrélation des vulnérabilités avec la Threat Intelligence pour les exploits actifs et disponibles).

Grâce à la modélisation de la surface d’attaque, l’analyse automatisée des chemins d’accès et des chemins d’attaques permet de régulièrement évaluer la conformité d’accès de zone à zone et de simuler des attaques pour identifier les actifs vulnérables exposés. L’analyse automatisée des chemins d’accès joue aussi un rôle majeur dans les workflows de gestion du changement pour des tâches telles que l’identification des équipements concernés par le changement, les accès existants, les violations des politiques de sécurité et les actifs vulnérables qui pourraient se retrouver exposés du fait du changement. L’automatisation axée sur l’analytique présente un avantage particulièrement important en matière de priorisation du risque. Ce dernier dépend de nombreux facteurs internes et externes en constante évolution. L’automatisation est donc primordiale afin d’effectuer l’analyse nécessaire pour déterminer quels vecteurs d’attaques sont les plus susceptibles d’être utilisés à l’encontre de l’entreprise.

En utilisant la modélisation de la surface d’attaque et l’analyse automatisée des chemins d’accès et des chemins d’attaques, les équipes de sécurité peuvent également adapter les listes de contrôle d’accès (ACL) ou les paramètres de configuration afin de se prémunir contre le risque posé par la vulnérabilité, dans les cas où il n’y a pas correctifs disponibles immédiatement. En matière de gestion des pare-feu, l’automatisation alerte les équipes quant aux règles non-utilisées, permettant de garder les pare-feu propres et optimisés. L’analyse régulière et automatisée des chemins d’accès permet aussi de révéler les règles qui enfreignent les politiques de sécurité en place, et de générer des tickets afin qu’elles soient examinées en vue d’une modification ou d’un dé-provisionnement.

Développer une stratégie cohérente

La correction des vulnérabilités et le provisionnement des changements relatifs aux pare-feu font partie des dernières étapes dans les workflows de gestion de la sécurité, mais sont souvent le point de départ des initiatives d’automatisation de la sécurité informatique. Néanmoins, l’automatisation de ces étapes peut avoir un impact neutre ou négatif sur la sécurité si les processus préalables visant à indiquer les éléments à corriger et la manière dont mettre en œuvre les changements ne bénéficient pas d’une visibilité et d’une contextualisation adaptées. Ce type d’automatisation mal-informée, car non basée sur une vue de bout en bout et une analyse de process, aggrave les problèmes de sécurité et nécessite de consacrer davantage de ressources à la mise en œuvre des révisions. En matière de cybersécurité, les correctifs et le provisionnement ne représentent que l’extrémité de l’iceberg ; l’impact réel dépend de ce qui les sous-tend et de ce qui est mis en œuvre en amont. L’automatisation axée sur l’analytique prend toute son importance grâce aux processus de contextualisation et de visibilité du réseau, permettant de s’assurer que l’exécution des différentes étapes est non seulement efficace, mais aussi pertinente, informée et intelligente, afin de cibler au mieux les risques les plus importants.

___________
Isabelle Eilam-Tedgui est Directrice des Ventes France & Belux chez Skybox Security