Vous manquez de personnel ? Pour soutenir votre équipe de sécurité, pensez au SOAR

Le monde de la technologie est aux prises avec une grande tension entre l’offre et la demande de talents techniques, et les implications de ce déséquilibre sont profondes. Dans un contexte de réduction des budgets, les pénuries de main-d’œuvre peuvent rendre votre organisation vulnérable aux piratages et aux cyberattaques. Nous allons nous intéresser à deux secteurs particulièrement touchés par ce phénomène : l’enseignement supérieur et les administrations d’état et locales.

Les institutions sont sous pression

EduCause a récemment mené une étude pour évaluer les effets des budgets et des pénuries sur le recrutement du personnel de cybersécurité. Quand l’institut a demandé aux participants si des problèmes de personnel avaient nui à leurs services de cybersécurité, les deux tiers (66 %) ont répondu qu’ils avaient eu un impact négatif modéré ou important sur les services de cybersécurité fournis au sein de leur institution. Et ils étaient presque aussi nombreux (60 %) à signaler également des impacts sur les services de protection de la vie privée.

Si on se penche sur la capacité de ces institutions à conserver des effectifs suffisants, à recruter de nouveaux talents et à fidéliser les employés actuels, il apparaît qu’elles ne sont qu’une minorité à pouvoir créer de nouveaux postes et à pourvoir les rôles existants. Étonnamment, une faible majorité d’entre elles parvient à conserver ses équipes – un défi de taille sur un marché qui se caractérise précisément par le manque de travailleurs qualifiés. Les établissements d’enseignement supérieur sont désormais en concurrence avec les structures commerciales, qui sont généralement en mesure d’offrir de bien meilleurs salaires.

^{Source : EduCause, The Cybersecurity and Privacy Workforce in Higher Education, 2023}

Les administrations locales resserrent leurs budgets

En 2022, selon un rapport conjoint de Deloitte et la National Association of State CIOs (NASCIO), les États américains consacraient au maximum 10 % de leur budget IT global à la cybersécurité, tandis que les agences fédérales lui dédiaient 16 % de leurs dépenses. Cette étude a révélé que les plus grandes problématiques de sécurité institutionnelles étaient d’abord liées aux budgets, puis à la rareté des talents en cybersécurité et à l’exploitation de technologies obsolètes et inadaptées aux nouvelles menaces. Selon Deloitte, 55 % des États américains prévoyaient de ne pas aller au-delà de 5 % d’augmentation de leur budget de cybersécurité en 2022, malgré l’intensification de la menace.

Dans les universités comme dans les administrations, les salaires des équipes IT sont généralement moins compétitifs que dans le secteur privé. Selon les chiffres de 2021 du Bureau of Labor Statistics, le secteur privé versait en moyenne des salaires 35 % supérieurs à ceux des administrations locales et d’état. Et l’écart se creuse avec le niveau d’expérience. Les salaires du secteur public sont souvent limités par un système de grille et d’échelons, qui nuit au pouvoir d’attraction et de fidélisation qu'exercent les gouvernements sur des professionnels de l’informatique.

L’incapacité à recruter des effectifs suffisants augmente le risque d’incidents de cybersécurité pour n’importe quelle institution. C’est d’autant plus vrai lorsque l’équipe en place consacre le plus clair de son temps à des tâches répétitives.

Le secteur public, une cible de choix

Les administrations et les institutions d’enseignement supérieur fournissent des services essentiels et gèrent des données personnellement identifiables, ce qui en fait des cibles de choix pour les cyberattaques. Lorsque des fonctions vitales du gouvernement sont compromises, le risque d’interruption des services et de fuite de données privées est extrêmement élevé.

La notation d’un gouvernement peut être dégradée à la suite d’une cyberattaque qui aura gravement dégradé ses services et ses performances financières, car la capacité de la direction à gérer le cyber-risque est, en soi, un facteur de risque asymétrique. Et une administration qui affiche un profil médiocre en termes de gestion des risques ou de performance financière peut avoir encore plus de difficultés à recruter des professionnels.

Malheureusement, les cybercriminels n’hésitent pas à exploiter les vulnérabilités issues du manque de personnel. Selon The State of Ransomware, une étude récemment publiée par le cabinet de cybersécurité Sophos, les attaques par ransomware ont augmenté de 70 % en 2021, par rapport à l’année précédente. Et 82 % des personnes interrogées dans le cadre de l’étude ont indiqué que des ransomwares avaient affecté leurs opérations de façon significative.

La solution : le SOAR

Comment les institutions d’enseignement supérieur et les administrations locales et d’état peuvent-elles relever ces défis ? L’un des moyens les plus efficaces de compenser le manque de ressources de cybersécurité consiste à injecter de l’automatisation dans les workflows du quotidien.

Dans la plupart des rôles de cybersécurité, au moins un tiers des activités régulières pourraient être automatisées. Les professionnels ont tout avantage à miser sur l’automatisation, capable de réduire le nombre de tâches quotidiennes indispensables mais néanmoins nuisibles à la productivité.

Les opérations de sécurité regorgent de ces tâches monotones, routinières et répétitives qui épuisent mentalement les équipes et en particulier les analystes de niveau 1. Les activités d’investigation et de réponse aux incidents, typiquement, se composent souvent des mêmes étapes manuelles. Ce sont précisément ces tâches répétitives qui se prêtent le mieux à l’automatisation.

Une récente étude, menée dans le cadre du rapport de Splunk État de la cybersécurité en 2023, a révélé que les équipes de sécurité qui utilisent un outil SOAR ont, en moyenne, augmenté leur efficacité de 48 % et leur productivité de 53 %. Une majorité écrasante de participants (97 %) confirme qu’un outil SOAR permet de gérer l’augmentation de la charge de travail avec des effectifs constants. C’est la preuve qu’un SOAR peut aider concrètement les organisations à relever le défi du manque de personnel de cybersécurité dans le secteur public.

L’approche de Splunk

Chez Splunk, nous envisageons les opérations de cybersécurité à travers le prisme de la boucle OODA : observer, orienter, décider, agir. Ce cadre a été élaboré dans le secteur militaire et repose sur une idée simple : le camp qui exécute la boucle OODA le plus rapidement l’emporte. Et ce concept s’applique parfaitement à la cybersécurité. 

^{Source:  Présentation initiale de Splunk SOAR}

De gauche à droite, les produits de sécurité qui aident les équipes à observer : pare-feux, IPS et sécurité des points de terminaison. Ces dispositifs collectent des informations et les remettent aux analystes de sécurité qui s’en servent pour comprendre ce qui se passe dans leur environnement. 

Les analystes doivent ensuite interpréter ces observations. L’analyse leur permet de tirer des conclusions, de repérer des tendances et de comprendre le contexte. Les alertes se déclenchent généralement dans les deux premières phases. Elles émanent de produits ponctuels (phase d’observation) et d’outils d’analyse (phase d’orientation).

Pour la plupart des équipes de sécurité, les phases de décision et d’action impliquent toujours des processus manuels. L’analyste doit prendre une décision sur la base de l’alerte qu’il a reçue, puis passer à l’action, que ce soit en bloquant une adresse IP sur un pare-feu, en menant une investigation sur un logiciel malveillant ou en arrêtant un exécutable sur un point de terminaison. L’automatisation des deux premières phases fera gagner un temps considérable à vos équipes de sécurité, qui pourront se consacrer pleinement à ces processus vitaux.

Plus de temps pour les tâches à valeur ajoutée

Nous savons déjà que l’automatisation des tâches répétitives peut accroître la productivité des analystes d’un peu plus de 50 %. Mais que pourraient faire vos professionnels de ce temps gagné ? 

• Travailler à des tâches plus utiles à la mission de votre agence ou de votre organisation.    
• Se concentrer sur les aspects les plus intéressants et gratifiants de leur travail, ce qui représente un facteur clé de la fidélisation des employés.   
• Faire de la recherche et innover, à leur échelle et celle de leur équipe. 

Par où commencer : les domaines d’automatisation prioritaires

Les équipes de sécurité ne manquent pas de tâches répétitives, et on ne sait pas forcément par quoi commencer.

Selon TechTarget, il y a six aspects à automatiser en priorité dans les workflows SOC : 

• la coordination de la threat intelligence,
• la gestion des investigations,
• la gestion des vulnérabilités,
• l’enrichissement automatique à des fins de remédiation,
• la recherche des menaces,
• la réponse aux incidents.    

Dans tous ces scénarios d’utilisation, le SOAR peut automatiser les tâches fastidieuses et répétitives qui prennent chaque jour beaucoup de temps à vos analystes. L’automatisation va non seulement accroître l’efficacité et la précision du travail de l’équipe, mais aussi lui permettre de traiter des volumes de données plus importants, et donc d’élargir le champ de détection. Examinons chacun de ces aspects en détail.

Coordination de la threat intelligence 
Une plateforme SOAR va prendre en charge les tâches pénibles d’importation et d’agrégation des milliers d’indicateurs de compromission (IoC) qui apparaissent chaque jour sur vos outils et vos systèmes. L’automatisation évite qu’un phénomène suspect n’échappe à la vigilance de votre équipe. 

Gestion des investigations 
Les analystes perdent beaucoup de temps à passer en revue les menaces de sécurité potentielles qui sont détectées par leurs différents outils. Il vaut mieux confier au SOAR le rapprochement des données disparates des différents événements corrélés ; données qui seront alors accessibles au sein d’une même interface. Vos gestionnaires de cas seront alors en mesure d’identifier les événements les plus critiques et de les traiter en priorité, améliorant ainsi votre position de sécurité globale.    

Gestion des vulnérabilités 
L’automatisation de la gestion des vulnérabilités et des réponses simples fera gagner un temps considérable à vos analystes. Un SOAR peut corréler les données associées aux menaces de différents outils de sécurité pour calculer le risque et hiérarchiser rapidement la réponse, même face à un volume de données important.    

Enrichissement automatique à des fins de remédiation  
L’enrichissement des IoC est la première étape de la réponse à un incident. Une plateforme SOAR accélère ce processus en rassemblant le contexte fourni par l’éventail d’outils de threat intelligence et de bases de données d’enrichissement. Votre SOC a alors toutes les informations nécessaires pour trier efficacement les événements et apporter une réponse ciblée. Enrichissez de grands volumes de données sans faire de compromis sur la profondeur de l’information.     

Recherche des menaces
C’est l’une des tâches les plus importantes des analystes, mais c’est aussi la plus chronophage. La plateforme SOAR automatise la recherche des menaces en assurant une détection continue des IoC à grande échelle et en détectant les logiciels malveillants. Ce type de plateforme peut également faire intervenir des personnes désignées dans les décisions stratégiques.       

Réponse aux incidents
Dernier point, l’automatisation des processus de remédiation et de réponse peut vous aider à éviter des coûts inutiles en ciblant les menaces plus tôt. Un SOAR peut en effet prendre en charge les menaces courantes telles que le phishing, les logiciels malveillants, les attaques DoS, les sabotages de site web et les ransomwares.    

De nombreuses opérations répétitives courantes se prêtent particulièrement à l’automatisation : ajout d’indicateurs à des listes de supervision et blocage des indicateurs malveillants, mise en quarantaine des indicateurs et des points de terminaison compromis, application des correctifs au matériel et aux logiciels de l’infrastructure, suppression des e-mails suspects et blocage d’adresses IP, création de tickets et suppression de comptes utilisateur. Une plateforme SOAR peut déclencher automatiquement des analyses d’antivirus ou des contrôles de conformité aux règles de sécurité, puis avertir des analystes, des employés, des fournisseurs, des partenaires ou des clients spécifiques.

Compensez le manque de personnel avec Splunk

Décuplez les moyens de votre équipe de cybersécurité en misant sur l’automatisation. Investissez dans un outil SOAR pour rationaliser les tâches de routine, gagner en efficacité et maintenir vos services avec une équipe réduite. N’attendez pas qu’une cyberattaque se produise. Agissez maintenant et faites passer vos défenses au niveau supérieur.