Étude mondiale : les priorités des leaders de la sécurité concernant l’intégrité du cloud, la pénurie de talents et les vecteurs d’attaque les plus urgents.
Le travail est toujours plus facile en équipe
Comme les données sont enfermées dans des silos et que les signalements ne sont pas normalisés, il arrivait que plusieurs analystes travaillent indépendamment sur la même alerte sans collaborer. Les méthodes de travail variaient d’un analyste à l’autre, et tous n’appliquaient pas les mêmes standards. Il faut également savoir que 90 % des alertes étaient générées par 20 % des scénarios d’utilisation seulement. Avec Splunk SOAR, l’équipe de Johnson Matthey a commencé à utiliser des playbooks pour harmoniser et normaliser le processus de traitement des alertes. Le travail des analystes est ainsi devenu plus organisé et les rapports ont gagné en cohérence. Résultat : des données plus normalisées et précises pour un ajustement plus proactif.
Auparavant, lorsque les analystes enregistraient une menace, ils devaient créer manuellement un ticket et saisir eux-mêmes les informations utiles. Splunk SOAR a transformé ce processus en automatisant les tâches répétitives et en enrichissant les alertes grâce à du contexte supplémentaire. L’examen des investigations prenait jusqu’ici 30 minutes en moyenne. Aujourd’hui, il dure seulement cinq minutes. Nathan Lowey, Ingénieur en cybersécurité chez Johnson Matthey, explique : « Splunk SOAR facilite la communication. Si l’un de nos analystes a besoin de communiquer des informations à un membre de la fonction OT, il suffit d’un clic pour extraire toutes les données de l’investigation et les transférer à la gestion des services IT. Tout reste protégé au sein du même système. »
Gérer les risques, anciens et émergents
Face à l’arrivée de cybermenaces innovantes et sophistiquées, les entreprises doivent garder une longueur d’avance sur les pirates. Quand les équipes de Johnson Matthey ont rencontré les premiers cas de « quishing », une forme de phishing basée sur des codes QR impossibles à distinguer d’images normales par les systèmes de détection, elles se sont tournées vers Splunk Attack Analyzer.
L’adoption de Splunk Attack Analyzer a dopé la précision de tout le système de détection du phishing qui affichait jusque-là un taux de faux positifs problématique. Auparavant, tous les e-mails dont l’objet contenait le mot « urgent », « paiement » ou « avis de rapport » étaient signalés comme suspects. Depuis l’introduction de Splunk Attack Analyzer, la précision de la détection du phishing a atteint 80 %, contre 50 % auparavant. Cette amélioration dénote une meilleure identification des menaces authentiques. Aujourd’hui, 61 % des tentatives sont automatiquement identifiées comme de fausses alertes et les incidents sont clos sans faire intervenir d’analyste. Une fois qu’une URL malveillante a été détectée, elle est automatiquement ajoutée au proxy cloud.
Avec Splunk Enterprise Security, Splunk SOAR et Splunk Attack Analyzer, Johnson Matthey a simplifié et amélioré sa stratégie de sécurité des données, harmonisé ses processus et amélioré son processus de prise de décision. D’autre part, les équipes de cybersécurité jusque-là isolées les unes des autres peuvent désormais communiquer et collaborer de façon fluide pour assurer la sécurité de l’organisation.