L’automatisation de la cybersécurité suscite un vif intérêt dans un contexte où les entreprises sont confrontées à une multiplication des attaques et à une pénurie de compétences en cybersécurité, ainsi qu’à la nécessité de se protéger en tirant le meilleur parti de ressources limitées. Pour autant, lorsqu’on projette un déploiement XDR pour mettre en œuvre l’automatisation, il peut être difficile de savoir par où commencer et comment défendre cet investissement.

Quelle est la proposition de valeur de l’automatisation de la cybersécurité  ?

Foncièrement, les processus IT (Technologies de l’Information) ont toujours été orientés vers l’automatisation. Nous avons recours aux technologies pour accomplir des tâches plus rapidement et de façon plus précise, qu’il s’agisse d’envoyer un e-mail au lieu d’un courrier postal ou d’effectuer des calculs au moyen d’un tableur plutôt qu’avec un boulier. Dans le domaine de la cybersécurité, il était courant jusqu’ici que l’on crée de petites solutions individuelles automatisées pour résoudre des problèmes de faible ampleur. Or, à présent que nos problèmes de sécurité se sont amplifiés de manière vertigineuse, nous avons besoin de solutions d’automatisation à plus grande échelle et plus intelligentes comme le XDR, et qui, surtout, accordent la juste valeur à l’expertise humaine. Vibin l’explique en ces termes  : «  Il est impensable que des ressources humaines coûteuses et difficiles à trouver effectuent des tâches répétitives que des machines sont mieux à même d’accomplir  ; nous devons faire en sorte que le personnel du SOC (Security Operations Center) se concentre sur les aspects essentiels où l’interprétation humaine du contexte est importante. Il faut éviter aux humains le travail répétitif qui mène à l’épuisement professionnel.  »

L’automatisation peut également contribuer à réduire le rapport signal-bruit et à préserver la réputation qu’a le SOC en termes de rapidité d’action. Mike a cité l’exemple du phishing, un excellent scénario d’utilisation de l’automatisation pour identifier les e-mails véritablement suspects parmi des alertes en grand nombre et ainsi permettre au SOC de fixer ses priorités d’intervention. Résultat  : les attaques peuvent être détectées plus rapidement, ce qui limite le temps dont dispose l’intrus au sein du réseau.

Lorsqu’elle est correctement mise en œuvre, l’automatisation donne aux analystes la possibilité de se concentrer sur des activités à plus forte valeur ajoutée et, en fin de compte, de jouer un rôle plus gratifiant qui brise la routine. Elle permet ainsi aux entreprises de mieux conserver les talents en cybersécurité. C’est là l’essentiel de la plus-value de l’automatisation, sans compter les gains de performances et d’efficacité qu’elle offre et qui jouent également un rôle déterminant dans son adoption.

Faut-il tout automatiser  ?

On est souvent tenté de croire qu’il vaut mieux trop que pas assez, mais est-ce vrai pour l’automatisation  ?

Vibin estime que non. Avant de vous engager sur la voie de l’automatisation, vous devez identifier votre point de départ et vos priorités. Il recommande aux entreprises de réaliser une analyse du SOC pour déterminer les tâches auxquelles l’équipe consacre le plus de temps et si elles relèvent d’un domaine qui peut être automatisé, ou si un changement de stratégie est nécessaire. Il illustre son propos par un exemple  : «  Si je constate un grand nombre de détections provenant du proxy web, est-ce ma stratégie de protection du trafic web qui pose problème  ? Ou n’ai-je pas mis en place la technologie qui convient pour la messagerie électronique si c’est elle qui génère de nombreuses alertes  ?  »

En possession de ces données, le SOC est mieux en mesure d’identifier les cibles de l’automatisation. Doit-il confier à l’automatisation l’ensemble du processus, de l’identification des menaces à la mise en œuvre des mesures correctives  ?

Le conseil de Mike est qu’avant de permettre à l’automatisation de prendre la relève, vous devez être certain de la fiabilité des données aidant à la prise de décision et aux mesures qui seront prises par la suite. Si vous estimez que les informations que vous obtenez sont exactes, vous pouvez mettre en place un processus automatisé qui agit sur la base de ces données (mise en quarantaine des endpoints ou blocage au niveau du pare-feu, par exemple). Dans un premier temps, une supervision humaine sera nécessaire pour vérifier la pertinence des actions et des résultats, mais une fois l’automatisation correctement configurée, avec les bonnes données, vous pourrez lui passer le témoin. Mike préconise une approche de type «  crawl-walk-run  », qui assure l’implication des collaborateurs dès le départ tout en optimisant la valeur de leur contribution  : «  Il s’agit de trouver des moyens créatifs pour mieux tirer parti de votre personnel en fonction des informations à votre disposition.  »

En ce qui concerne les données, elles doivent être significatives et pertinentes pour le secteur d’activité de l’entreprise. Vibin et Gigi s’accordent à dire que la qualité des données l’emporte toujours sur leur quantité, et qu’elles peuvent être utilisées pour prioriser les réponses aux vulnérabilités et aux menaces.

Bâtir l’argumentaire de financement de l’automatisation et identifier les possibilités de retour sur investissement

Afin d’obtenir le budget nécessaire à l’investissement dans l’automatisation, vous devez avoir une vision claire du résultat final de votre projet et une idée des arguments qui vont séduire les responsables du budget et/ou des achats.

La gestion des effectifs est un domaine clé qui fait généralement partie des priorités des entreprises. À cet égard, Mike conseille de décrire dans l’argumentaire les activités auxquelles les collaborateurs consacrent actuellement une grande partie de leur temps et dont l’automatisation permettrait d’alléger la charge — au lieu d’embaucher du personnel supplémentaire.

L’investissement dans les services managés peut également être envisagé. En effet, lorsque les ressources internes peinent à faire face à leur charge de travail, on peut plaider en faveur de l’externalisation de certains aspects du SOC, les analystes internes n’ayant alors à intervenir que dans les situations où un problème important doit être géré. Cette solution leur permet de dégager du temps et accroît les ressources humaines disponibles.

Quantifier les avantages attendus du déploiement de l’automatisation est également une tactique utile. En automatisant la gestion des vulnérabilités, par exemple, les entreprises peuvent réduire le délai entre l’exposition et la protection, et de ce fait limiter leur niveau de risque. Comme la gestion des risques prend une importance de premier plan au sein des conseils d’administration, ce peut être un argument convaincant pour investir dans l’automatisation intelligente.

L’automatisation  : par où commencer  ?

Le déploiement de l’automatisation de la cybersécurité peut apparaître comme une entreprise décourageante. Cependant, d’après nos intervenants, il s’agit d’un parcours, et non d’une destination, et il doit être abordé comme tel.

«  Inutile d’acheter quoi que ce soit — visez petit pour commencer  », conseille Vibin. «  Faites avec les moyens du bord et mettez en place les bons processus. Lorsque ces processus encadreront ce dans quoi vous avez déjà investi, vous pourrez envisager d’acheter des solutions plus avancées en cas de besoin.  »

«  Le XDR n’est pas une technologie  », poursuit-il. «  Cela ne s’achète pas  ; c’est un parcours à mener en plusieurs étapes.  »

Mike partage son point de vue  : «  Il faut une mentalité de bâtisseur et non d’acheteur. Les entreprises possèdent une multitude de produits. Veillez à faire le tour de votre panoplie d’outils avant d’en chercher d’autres. Identifiez les lacunes de vos pratiques actuelles.  »

Gigi fait également remarquer que le décloisonnement des équipes et des données est une étape cruciale sur la voie d’une automatisation efficace  : «  La possibilité de rassembler toutes ces données, de disposer d’une vision d’ensemble et d’obtenir le contexte  : c’est là que les véritables avantages apparaissent.  »