La lassitude liée au contrôle de la sécurité met les entreprises en danger

La surcharge de données pousse les professionnels de la sécurité au bord du gouffre

Lorsque les alertes deviennent pesantes

Les professionnels de la sécurité, souvent la première ligne de défense d'une organisation, sont épuisés. Pour quelle raison ? Bien souvent, c'est à cause de la surcharge en données.

Le tri à faire au milieu d'un volume énorme d'alertes (dont certaines sont dupliquées parmi les différents outils) est devenu tel qu'il est difficile d'identifier et d'atténuer les menaces les plus critiques et pressantes qui pèsent sur l'organisation. Les alertes de sécurité sont le fruit de bonnes intentions, toutefois, une étude récente révèle que 68 % des professionnels de la sécurité reconnaissent avoir réduit le volume des alertes pour certaines fonctions spécifiques, et 49 % ont coupé le son pour toutes les alertes.

Lorsque ces protocoles de sécurité sont allégés, on s'évite le tracas de devoir comprendre l'origine de chaque alerte, cependant, les failles de sécurité prennent simultanément de l'ampleur et les risques de compromission augmentent. Les conséquences peuvent être désastreuses ; une alerte ignorée peut conduire à une violation de données, augmenter les coûts des mesures correctives ou encore ouvrir la voie à d'autres attaques.

Dans son rapport Cost of a Data Breach de 2021, IBM indiquait qu'il faut environ 212 jours pour identifier une violation et 75 jours de plus pour la contenir, une durée qui ne peut que s'allonger si aucune mesure n'est prise.

Pourquoi la sécurité est au bout du rouleau

Il existe deux raisons critiques à la lassitude des professionnels de la sécurité. D'abord, de nombreuses organisations ont migré, totalement ou partiellement, vers le cloud computing. Cette infrastructure hybride peut s'avérer complexe à configurer, gérer et sécuriser contre un nombre croissant de menaces. Par ailleurs, les produits de sécurité ne fonctionnent pas tous à la fois pour les environnements sur site et dans le cloud, ce qui oblige les organisations à adopter des solutions supplémentaires pour sécuriser leurs utilisateurs et leurs données.

Ensuite, tandis que les organisations continuent d'ajouter des produits de sécurité à leur pile, ces solutions collectent un volume plus important de données de surveillance. Ces données sont essentielles pour comprendre les menaces auxquelles est confrontée l'organisation et pour les atténuer, mais cela peut représenter une quantité écrasante de données à analyser.

Plusieurs autres facteurs viennent empirer cette fatigue du suivi des alertes :

  • Les faux positifs : dans une enquête menée par l'institut Ponemon, les personnes ayant répondu ont indiqué un taux de faux positifs de 20 à 50 %, ce qui ne permet pas à la sécurité de se faire une idée précise des menaces qui pèsent sur leur organisation.

  • Les outils de sécurité sont parfois cloisonnés ou envoient les alertes en double : les produits spécifiques ne fonctionnent pas ensemble, le volume et la qualité des données envoyées ne sont donc pas rationalisés et il est difficile d'évaluer le niveau de sécurité d'une organisation et d'analyser des menaces lorsqu'elles surviennent. Les outils traditionnels de surveillance de la sécurité (qu'ils soient exécutés au niveau de l'hôte, du système, de l'application ou du réseau), reposent souvent trop sur des processus manuels en ce qui concerne le suivi et la résolution des incidents. Les outils de sécurité cloud quant à eux ne sont pas conçus pour l'échelle ni la complexité des environnements hybrides.

  • Le manque de contexte et de capacités avancées dans les journaux de données : ces derniers étant souvent séparés entre les composants matériels et les composants logiciels, ils ne peuvent pas fournir un contexte prenant en compte l'intégralité de l'infrastructure d'une organisation. L'identification et les réparations suivant une attaque sont à la fois chronophages et complexes en raison du tri à faire dans le volume élevé des données techniques.

  • Lorsque tout est important, rien ne l'est vraiment : lorsque l'outil est mal paramétré, chaque événement devient prioritaire, ce qui rend fastidieuse la tâche des équipes de sécurité qui doivent manuellement identifier les menaces les plus pressantes. Le bon outil est celui grâce auquel la sécurité établit automatiquement un ordre de priorité pour les données reçues et peut ainsi identifier des schémas d'attaque et l'évolution d'autres risques pour la sécurité au sein d'une organisation, sans perdre un temps précieux ou encore d'autres ressources.

Lorsque les équipes de sécurité sont trop épuisées pour suivre les alertes, analyser les données des journaux et gérer les outils de surveillance, les risques pour l'organisation s'amplifient.

Réduire la lassitude liée à la surveillance de la sécurité

Pour combattre la lassitude liée à la surveillance de la sécurité, il ne suffit pas d'adopter le « parfait » outil de sécurité ; il convient plutôt de repenser la sécurité du réseau.

Plutôt que de jongler avec des solutions ponctuelles (qui ne sont pas conçues pour intégrer, remédier à la duplication des alertes ou offrir une visibilité totale), un panneau de contrôle unique doit faciliter la gestion des outils de sécurité et de surveillance. Si elles gèrent la détection des menaces et les fonctions d'atténuation au même endroit, les organisations sont en mesure de combler les failles de sécurité et de gagner en visibilité et en contrôle.

Pour améliorer les fonctions de détection des menaces, il est également possible de :

  • Enrichir les journaux et les modèles d'apprentissage automatique : la journalisation n'est jamais aussi utile que lorsque l'équipe de sécurité dispose d'une image claire et concise des menaces pesant sur l'organisation. Les équipes peuvent augmenter les données des journaux grâce à au moins une des options suivantes :

    • Analyse des événements induits par l'IA et de la cause d'origine : en notant ce qui s'est passé avant, pendant et après l'incident

    • Analyse prédictive : identification des points de faiblesse de l'infrastructure à traiter avant qu'un incident ne se produise

    • Détection et réactivité du réseau : élimination des cloisons entre DevOps, microservices, et les intégrations basées sur les API afin d'obtenir une image complète du cycle de vie de la sécurité des données

    • Établissement de références dans les comportements : catalogue des actions et comportements attendus ou non

  • Mieux exploiter l'automatisation : certaines parties du processus de détection des menaces exigent une intervention manuelle. Cependant, en automatisant les processus chaque fois que c'est possible (idéalement pour les étapes tactiques et reproductibles de recherche et d'analyse), il est possible de réduire la charge de travail globale des équipes de sécurité en matière de détection des menaces. Par exemple, il est plus rapide d'automatiser un flux de travail pour l'analyse des terminaux ou des comptes de messagerie que de configurer intégralement l'analyse à chaque fois.

  • Vérifier à intervalles réguliers les outils de sécurité : régulièrement contrôler et rationaliser les outils de surveillance de sécurité pour s'assurer qu'ils fonctionnent comme prévu.

Au lieu d'abaisser le seuil de sécurité, les organisations peuvent alléger la complexité du réseau en réunissant tous les aspects de la sécurité sur une plateforme unique. Ainsi, elles raffermissent leur niveau de sécurité, éliminent les failles de sécurité et fournissent aux professionnels de la sécurité un environnement dans lequel il leur est plus facile de se concentrer sur les menaces critiques.

Remédier à la lassitude liée à la surveillance de la sécurité avec Cloudflare

Réunissez l'essentiel des services de sécurité et déployez-les depuis la périphérie du réseau avec Cloudflare One, une plateforme de réseau en tant que service Zero Trust. Le tableau de bord unique de Cloudflare permet à l'équipe de sécurité d'être toujours informée des menaces émergentes avec la visualisation de données d'analyses, des journaux détaillés et des notifications personnalisées, le tout facilement configurable et gérable.

Il est conçu sur un vaste réseau global qui met à profit les informations de millions de propriétés pour mieux identifier et atténuer les menaces, les organisations bénéficient ainsi d'une sécurité nativement intégrée qui s'enrichit à mesure de l'évolution du réseau de Cloudflare.

Cet article fait partie de notre série consacrée aux dernières tendances et évolutions susceptibles d'influencer les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

  • Pourquoi 68 % des professionnels de la sécurité réduisent la quantité d'alertes de sécurité

  • Comment les produits spécifiques conduisent à une surcharge de données et à la lassitude

  • Recommandations pour réduire la fatigue liée à la surveillance de la sécurité

RESSOURCES ASSOCIÉES


Approfondir le sujet


La déduplication des alertes et la surveillance sont des aspects importants de la sécurité Zero Trust. Pour comprendre comment elles s'inscrivent dans une transformation Zero Trust plus large — procurez-vous le Guide de sécurité Zero Trust.

Get the white paper!

Bénéficiez d'un récapitulatif mensuel des tendances Internet les plus populaires !