false
Blogs Splunk
Blogs Splunk
Blogs Splunk
Learn
10 juillet 2023
 | 
17 min de lecture

Qu’est-ce que l’automatisation de la sécurité ?

Par Stephen Watts

L’automatisation de la sécurité consiste à détecter, inspecter et corriger automatiquement les cybermenaces, avec ou sans intervention humaine, à l’aide d’une solution programmatique spécialement conçue à cette fin. L’automatisation de sécurité identifie les menaces qui pèsent sur la posture de sécurité d’une entreprise, les trie et les ordonne par niveau de priorité, puis les traite selon cette hiérarchie. L’automatisation de la sécurité est indispensable pour harmoniser le traitement des multiples alertes que reçoivent les équipes de sécurité au quotidien.

Dans un centre des opérations de sécurité (SOC) moderne, l’automatisation se charge de la majeure partie des tâches de base attribuées aux analystes de sécurité. Non seulement elle accélère la détection, l’inspection et la prise en charge des menaces, mais elle libère le personnel du traitement manuel des alertes et leur donne plus de temps pour se concentrer sur les tâches de sécurité de plus haut niveau.

Voici les principales capacités de l’automatisation de la sécurité :

  • détection des menaces présentes dans l’environnement d’une entreprise,
  • enrichissement, corrélation, regroupement et hiérarchisation des alertes afin d’accélérer les investigations,
  • mise en œuvre d’actions prédéfinies pour contenir et corriger les problèmes.

Les logiciels actuels d’automatisation de la sécurité réalisent toutes ces opérations en quelques secondes, parfois sans intervention de l’équipe de sécurité qui peut alors s’affranchir des tâches répétitives, manuelles et chronophages.

Les systèmes automatisés ont également l’avantage d’accélérer la détection des menaces. Les opérateurs humains sont bombardés d’alertes de sécurité au point d’y devenir insensibles. Une récente étude menée par IDC Research révèle ainsi que, dans tous les types d’entreprise, les équipes ignorent jusqu’à un tiers des alertes de sécurité et perdent la moitié de leur temps à investiguer des faux positifs.

On comprend aisément tout l’intérêt d’une solution capable d’éliminer automatiquement les faux positifs, d’enrichir les alertes avec de la threat intelligence, de grouper différentes alertes en un nombre réduit d’incidents et de les hiérarchiser en fonction du risque qu’elles présentent pour l’entreprise. Ce type de solution permet en effet de traiter les problèmes avant qu’ils ne dégénèrent. Parce qu’elle diminue la quantité de processus manuels, l’automatisation peut également aider les analystes à éviter certaines erreurs en réduisant l’effet de lassitude et de submersion.

Dans cet article, nous abordons les bases de l’automatisation de sécurité, nous évaluons son intérêt pour tous les types d’entreprise et nous vous donnons des conseils pour prendre un bon départ avec une plateforme d’automatisation de la sécurité.

Les équipes de sécurité ignorent 74 % des alertes


Les avantages de l’automatisation de la sécurité

Selon le rapport État de la sécurité en 2022 de Splunk, le temps médian nécessaire pour rétablir une application stratégique après une interruption liée à un incident de cybersécurité est de 14 heures. Rappelons que le coût d’un temps d’arrêt avoisine les 200 000 $ par heure en moyenne, et qu’ils coûtent 33,6 millions de dollars chaque année aux organisations. De son côté, Accenture affirme dans son rapport « État de la résilience de cybersécurité en 2021 » que le coût des violations de données pourrait passer de 3 000 milliards de dollars par an à plus de 5 000 milliards en 2024.

Une chose est sûre : plus il faut de temps pour détecter une cyberattaque, mener l’investigation et y répondre, plus son potentiel augmente, et notamment sa capacité à interrompre les services. Face au paysage des menaces actuel, il est indispensable d’identifier et corriger rapidement les cybermenaces pour minimiser l’impact des attaques éventuelles.

Il se produit une cyberattaque toutes les 39 secondes.

Avant l’introduction des processus de sécurité automatisés dans le centre des opérations de sécurité, c’était aux analystes humains de traiter toutes les menaces manuellement. Ils devaient parcourir une multitude d’alertes, y ajouter de la threat intelligence et déterminer les mesures à prendre pour contenir et corriger la menace. Étant donné le volume considérable d’alertes que reçoivent les entreprises modernes, un tel degré d’intervention manuel n’est plus envisageable.

Vous avez besoin d’un petit rappel concernant la différence entre SOC et NOC ? Lisez notre article à ce sujet.

Pire encore, un grand nombre de ces alertes sont en réalité sans rapport avec une quelconque cybermenace ou activité malveillante, même si ce n’est pas immédiatement visible. Les analystes perdent donc un temps précieux à investiguer des faux positifs qui les épuisent et les détournent des tâches plus importantes.

L’automatisation de la sécurité se charge de ces activités de façon automatique et instantanée, plus vite qu’aucun analyste humain ne pourrait le faire, aussi expérimenté soit-il.

Quand ils ont plus de temps libre, les analystes de sécurité peuvent se consacrer à des activités stratégiques plus gratifiantes et rentables, comme la planification de la croissance, la recherche proactive des menaces et des analyses de sécurité plus approfondies. C’est l’un des grands avantages de l’automatisation de la sécurité, et il vaut autant pour l’équipe de sécurité que pour l’entreprise dans son ensemble.

Quels sont les signes qui indiquent qu’une entreprise a besoin d’automatiser sa sécurité ?

De nombreuses situations peuvent inciter une entreprise à adopter, élargir ou améliorer l’automatisation de sa sécurité.

  • Malheureusement, bien souvent, c’est une faille de sécurité qui les informe que leurs préparations de sécurité ne sont pas à la hauteur. Dans une étude menée par Splunk et Enterprise Strategy Group, 49 % des personnes interrogées disaient avoir subi une faille de données au cours des deux années écoulées, contre 39 % l’année précédente. Certaines failles mineures se corrigent rapidement, mais d’autres peuvent être bien plus coûteuses, voire catastrophiques. Selon le rapport IBM sur le coût d’une violation de données, le coût total d’une violation s’élevait en moyenne à 4,35 millions de dollars en moyenne en 2022. Selon la taille et la santé financière de l’entreprise, une cyberattaque peut suffire à provoquer une faillite.
  • Pour savoir si votre cybersécurité est à la hauteur du défi à relever, il est très utile de suivre le temps de réponse aux incidents. Si le temps moyen de détection et le temps moyen de correction s’allongent, c’est le signe que votre arsenal de sécurité a besoin d’être perfectionné.
  • Si votre équipe de sécurité est submergée de faux positifs, c’est aussi le signe que votre entreprise a tout intérêt à miser sur l’automatisation de sécurité. Ce n’est qu’après une investigation qu’on peut savoir si une alerte est un faux positif. Si vos analystes de sécurité passent leur temps à suivre de fausses pistes, ils ne font pas un usage optimal de leurs heures de travail et de leurs compétences.
  • C’est l’équipe de sécurité qui est sans doute la mieux placée pour dire si vous avez besoin d’automatisation. Elle sait si elle est confrontée à un déluge d’alertes, si elle perd trop de temps à traquer des faux positifs, et si elle a l’impression d’avoir le temps et les ressources nécessaires pour faire face aux défis qui se présentent.

Solutions d’automatisation de la sécurité

Une solution d’automatisation de la sécurité est une solution logicielle unifiée, capable de traiter tous les besoins de sécurité de votre entreprise de façon englobante. Une plateforme d’automatisation de sécurité remplit plusieurs fonctions :

Workflows normalisés : sur la base d’un playbook, la solution d’automatisation de la sécurité sait quelles actions déclencher face à un scénario donné. Elle procédera de façon identique à chaque fois, ce qui garantit la reproductibilité du processus et permet de le vérifier. Ces actions normalisées peuvent être très variées :

  • suppression ou mise en quarantaine de fichiers potentiellement infectés par des programmes malveillants,
  • exécution d’une recherche de géolocalisation sur une adresse IP donnée,
  • recherche de fichiers sur un endpoint particulier,
  • blocage d’une URL sur les dispositifs de périmètre,
  • isolement d’un dispositif sur le réseau.

Intégration fluide avec d’autres systèmes de sécurité : les produits d’automatisation de la sécurité s’intègrent à vos ressources de sécurité, notamment les pare-feux, les solutions de point de terminaison, les services de gestion de la réputation, les sandboxes, les services de répertoire, les systèmes de tickets et les solutions de gestion des informations et des événements de sécurité (SIEM). Ils peuvent ainsi orchestrer des opérations couvrant plusieurs vecteurs d’attaque et de nombreux outils de sécurité différents.

L’automatisation de la sécurité s’intègre aux pare-feux, aux solutions d’endpoints et autres produits IT de votre environnement.

L’évolution de l’automatisation de la sécurité

L’automatisation de la sécurité est devenue un sujet d’actualité pour les entreprises et les équipes de sécurité, en grande partie à cause de l’augmentation exponentielle des cyberattaques. Le nombre considérable de menaces a imposé d’automatiser la réponse aux incidents, afin d’identifier et répondre plus rapidement aux cyberattaques ou aux violations de sécurité.

Si le traitement automatisé des incidents a contribué à la prise en charge des problèmes de sécurité, il a fallu, à terme, trouver une approche plus proactive. Cette approche a évolué pour devenir l’automatisation et l’orchestration de la sécurité, cette dernière assurant la connectivité entre les outils de sécurité et les workflows.

Aujourd’hui, les fournisseurs proposent des systèmes d’orchestration, d’automatisation et de réponse de sécurité (SOAR) qui automatisent à la fois la réponse et sa coordination sur une infrastructure complexe pour réduire, voire éliminer complètement, le risque d’erreur humaine. (Notez que les fournisseurs utilisent une terminologie variable pour décrire leurs outils. Assurez-vous donc de bien connaître les fonctionnalités que vous attendez d’une plateforme d’automatisation de la sécurité avant de commencer à étudier les offres.)

image tableau de bord Phantom automatisation de la sécurité

Les outils d’automatisation de la sécurité fournissent un tableau de bord des incidents, des métriques de réponse et bien plus encore.

Automatisation et orchestration

L’automatisation de la sécurité a pour principal objectif d’accroître l’efficacité et la performance des opérations de sécurité. L’orchestration de sécurité a pour but de connecter l’ensemble de vos outils de sécurité, d’assurer leur coordination et le partage des informations, et de faire en sorte qu’ils apportent une réponse conjointe aux alertes et aux incidents de sécurité, même si les données nécessaires à cette coopération sont dispersées sur de multiples systèmes et outils de votre environnement.

On utilise souvent les termes d’automatisation et d’orchestration de façon interchangeable. Pourtant, malgré leurs nombreux points communs, ce sont deux concepts très différents. L’automatisation de la sécurité, comme nous l’avons vu dans cet article, a pour but d’automatiser des tâches de sécurité spécifiques. L’orchestration de sécurité, en revanche, rassemble les différents outils et processus automatisés pour optimiser leur fonctionnement coordonné.

Bonnes pratiques d’automatisation de la sécurité

Il existe de nombreuses façons de générer de la valeur avec l’automatisation de la sécurité, notamment en établissant des priorités pour son utilisation, en élaborant des procédures et en formant le personnel. Suivez ces bonnes pratiques pour exploiter toute la valeur de votre investissement dans l’automatisation de la sécurité :

  • Ne pensez pas qu’elle puisse remplacer l’intervention humaine. Cette technologie fonctionne bien pour exécuter des actions simples, mais pour résoudre les problèmes plus complexes qui nécessitent une prise de décision et une démarche sophistiquée de résolution, vous aurez toujours besoin d’analystes de sécurité. L’automatisation permettra à ces analystes de se consacrer aux problèmes importants.
  • Fixez des priorités : pour profiter au maximum de l’automatisation de la sécurité, vous devez adopter un point de vue de haut niveau sur votre posture de sécurité et identifier les problèmes à traiter en priorité. Une fois ces objectifs établis, définissez vos scénarios d’utilisation et déterminez les opportunités d’automatisation en fonction. Pensez à inclure dans la réflexion tous les acteurs de votre entreprise qui sont impliqués dans sa sécurité. Vous aurez peut-être l’impression que ce grand groupe de travail va ralentir vos efforts, mais cela facilitera l’adhésion au projet par la suite. Quant au travail que vous faites maintenant en établissant des priorités, il s’avérera extrêmement utile au moment d’élaborer les playbooks.
  • Adoptez progressivement l’automatisation : la plupart des entreprises ne peuvent pas tout automatiser en une fois, et ce n’est pas recommandé. Comme dans le cas de tout projet pilote, il est préférable de commencer par les aspects qui seront rapidement rentables pour démontrer l’intérêt de votre démarche en interne. Une adoption progressive de l’automatisation vous donnera également la possibilité d’évaluer son impact et de superviser son efficacité. Vous pourrez ainsi apporter des ajustements au fur et à mesure si nécessaire.
  • Créez vos playbooks : documentez les étapes que vous suivez actuellement pour résoudre les problèmes et veillez à ce que vos workflows soient aussi robustes que possible avant de commencer à les automatiser. Il est absolument vital que vous transfériez l’intégralité de vos connaissances organisationnelles dans la pratique d’automatisation de la réponse de sécurité.
  • Formez votre équipe : le passage d’une réponse manuelle à une approche automatisée nécessite beaucoup de formation et de coaching. Toute votre équipe de sécurité, des analystes junior aux cadres, doit se familiariser avec les nouvelles pratiques. Il faudra sans doute aussi établir clairement ce qu’une solution d’automatisation peut et ne peut pas faire, afin que chacun sache où s’achèvent les capacités de réponse automatisée et où commence la responsabilité humaine.
  • Mettez à profit le temps gagné : l’automatisation rend les équipes de sécurité plus productives et leur donne l’opportunité d’en faire plus pour l’entreprise. Planifiez la façon dont vos analystes vont se concentrer sur des tâches à valeur ajoutée au bénéfice de toute l’entreprise : par exemple, mener une investigation approfondie sur les causes profondes des attaques de phishing que vous subissez constamment. Votre équipe peut également employer le temps que vous venez de libérer pour élaborer un modèle d’amélioration permanente et ainsi œuvrer à la conception, la mise en œuvre et l’amélioration des logiques d’automatisation.
  • Rassemblez vos outils de sécurité et vos workflows : l’adoption de l’orchestration de la sécurité en plus de l’automatisation de la sécurité vous donne la possibilité d’orchestrer des workflows de sécurité complexes au sein de votre environnement multicloud, facilite la communication et la collaboration, améliore l’efficacité, élimine les erreurs et réduit les délais de réponse.

Bien démarrer avec l’automatisation de la sécurité

Pour bien démarrer avec l’automatisation de la sécurité, vous devez définir vos besoins et des scénarios d’utilisation, puis effectuer des recherches approfondies auprès des fournisseurs. Et si vous êtes prêt, voici quelques conseils pour prendre plus facilement cette grande décision et bien choisir votre solution d’automatisation de la sécurité.

  1. Commencez par établir vos besoins. L’aide que peut vous apporter l’automatisation de sécurité et les outils et processus que vous allez adopter dépendent fortement du profil de cyber-risque de votre organisation bien sûr, mais aussi de celui de son secteur d’activité, qu’il s’agisse du retail, de la santé, de la fabrication, des services financiers, du secteur public ou autre.

    Par exemple, les retailers sont confrontés à des niveaux sans précédent d’attaque par ransomware et de phishing. L’automatisation peut contribuer à éliminer les attaques répétitives et les faux positifs afin de permettre aux analystes de sécurité d’étudier ces cas plus en profondeur et de mettre en œuvre des défenses durables.

    Avant d’examiner les fournisseurs, travaillez avec votre équipe IT et d’autres décideurs de l’entreprise pour identifier les problèmes que vous devez résoudre. Voici quelques questions pour orienter les débats :

    • Votre équipe de sécurité est-elle confrontée à des déluges d’alertes ? Combien d’alertes reçoit-elle par jour et combien est-elle capable de traiter ? Combien de ces alertes sont des doublons et des faux positifs ?
    • Quels sont vos temps de séjour (durée pendant laquelle une menace active n’est pas détectée) et vos taux de réponse ?
    • Quelles sont les tâches reproductibles et bien définies ? Comment l’automatisation pourrait-elle accélérer l’exécution de ces tâches ?
    • Quels sont les trois principaux objectifs de l’organisation (p. ex., croissance, exploitation lean, réduction des inefficacités) ? Quelles priorités de sécurité devez-vous établir pour aider l’entreprise à atteindre ces objectifs ?

  2. Définissez les scénarios d’utilisation. En fonction de votre secteur et des objectifs de votre entreprise, établissez une liste de vos usages de l’automatisation de la sécurité. Consacrez du temps à cette étape, car elle sera essentielle pour trouver des fournisseurs capables de répondre aux besoins de votre entreprise, puis pour élaborer des procédures.

  3. Étudiez attentivement les offres des fournisseurs. Muni de vos objectifs, de vos priorités et de vos scénarios d’utilisation, vous pouvez commencer à rechercher un fournisseur. Voici quelques points à garder à l’esprit pour vous aider à choisir parmi les options suivantes :

    • Simplicité du code : produire du code pour déployer un nouvel outil prend beaucoup de temps. Idéalement, il vous faut une plateforme qui vous permette d’élaborer des procédures sans code manuel.
    • Intégration de produits tiers et prise en charge de plug-ins : passez en revue l’ensemble de vos applications et outils pour vous assurer que le fournisseur de votre choix est en mesure de prendre en charge votre pile d’outils existante.
    • Simplicité d’utilisation et flexibilité : choisissez une solution cloud pour éliminer la maintenance. Cherchez à savoir quel degré de personnalisation est possible pour répondre à vos besoins immédiats et à long terme.
    • Durée de déploiement : si vous souhaitez tirer immédiatement de la valeur de votre outil, discutez ouvertement avec les fournisseurs du temps nécessaire pour être opérationnel, de la configuration à l’intégration, en passant par la formation du personnel.
    • Assistance technique : sachez à quel type d’assistance vous avez droit dès le premier jour (par exemple, assistance 24 h/24, 7 j/7, téléphone, e-mail ou messagerie web).

Pour conclure : l’automatisation de sécurité est indispensable pour faire face à la multiplication des cybermenaces

L’automatisation de la sécurité n’est plus un simple atout. Elle est devenue incontournable dans les environnements complexes d’aujourd’hui. Face à l’augmentation du nombre et de la gravité des menaces et des cyberattaques, les profils hautement qualifiés en sécurité sont rares. L’automatisation optimise la satisfaction professionnelle et la motivation de vos meilleurs analystes de sécurité en automatisant les tâches répétitives et banales.

L’automatisation de la sécurité vous permet de réduire considérablement vos temps de réponse aux incidents et vos temps de séjour, et de garder une longueur d’avance sur les menaces. La réponse aux incidents, qui pouvait prendre des heures, voire des jours auparavant, peut être réduite à une poignée de secondes. Vous allez ainsi neutraliser plus rapidement les menaces et mieux protéger vos clients, tout en préservant votre réputation et vos résultats.


Une erreur à signaler ? Une suggestion à faire ? Contactez-nous à l’adresse ssg-blogs@splunk.com.


Cette publication ne représente pas nécessairement la position, les stratégies ou l’opinion de Splunk.
Stephen Watts Picture
Stephen Watts

Stephen Watts works in growth marketing at Splunk. Stephen holds a degree in Philosophy from Auburn University and is an MSIS candidate at UC Denver. He contributes to a variety of publications including CIO.com, Search Engine Journal, ITSM.Tools, IT Chronicles, DZone, and CompTIA.

Articles connexes

Learn 9 min de lecture

Tout comprendre à la sécurité des conteneurs
La sécurisation de ces conteneurs peut être intimidante pour des développeurs habitués à faire des contrôles de sécurité <i>après</i> le cycle de développement. Voyons ce que recouvre réellement la sécurité des conteneurs.
Learn 3 min de lecture

Splunk est désormais disponible sur Microsoft Azure
Sur Microsoft Azure, Splunk offre à la majorité des entreprises du Fortune 2000 un accès simple à une solution professionnelle de sécurité et d’observabilité.
Learn 19 min de lecture

SIEM : tout comprendre sur la gestion des informations et des événements de sécurité
Le SIEM est une révolution pour la cybersécurité, en particulier dans les grandes entreprises. Découvrez les principales fonctions du SIEM et les critères qui permettent de choisir le bon outil.

À propos de Splunk

La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.

Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.
lire Light
En savoir plus sur Splunk
ENTREPRISE
ENTREPRISE
PRODUITS
PRODUITS
SITES SPLUNK
SITES SPLUNK
CONTACTER SPLUNK
CONTACTER SPLUNK
TÉLÉCHARGER SPLUNK MOBILE - App Store
TÉLÉCHARGER SPLUNK MOBILE - Google Play

© 2005 - 2025 Splunk LLC Tous droits réservés.

Domaine juridique
Confidentialité
Plan du site
Cookies
Conditions d'utilisation du site web

© 2005 - 2025 Splunk LLC Tous droits réservés.