NicoElNino - stock.adobe.com

Pour Gartner, les entreprises font une priorité de l'extension des capacités de leurs SOC

Selon le cabinet, les principales tendances de l’année sont le renforcement des investissements dans les centres opérationnels de sécurité et la définition claire du niveau de risque acceptable.

Les entreprises s’intéressent à nouveau à leurs centres opérationnels de sécurité (SOC), qu’il s’agisse d’en mettre en œuvre, d’en moderniser ou même de recourir à l’externalisation. Pour Gartner, c’est l’une des principales priorités pour cette année, en matière de sécurité informatique.

Peter Firstbrook, vice-président recherche chez Gartner, entrevoit deux facteurs principaux à cette situation. Tout d’abord, les cyberattaques faisant preuve d’une sophistication croissante, les entreprises commencent à réaliser qu'elles doivent être en mesure d'intervenir en cas d'urgence. Ensuite, les équipes de sécurité ont pris conscience que leur travail n'est pas de prévenir chaque incident : « leur travail consiste à identifier les incidents et à y réagir rapidement, et pour ce faire, vous devez vous concentrer ; vous avez besoin de quelqu'un qui s'en occupe sur le plan organisationnel ».

L'aube du SOC moderne

Gartner prévoit que 50 % des SOC soient modernisés d’ici à 2022. Comprendre : qu’ils disposeront de capacités intégrées d'intervention en cas d'incident, de gestion du renseignement sur les menaces, et de chasse aux menaces.

Prudent, Bryce Austin, PDG de TCE Strategy, estime que ces projections « sont probablement exactes pour les entreprises du Fortune 1000 ». Mais les autres « sont plus susceptibles d'externaliser les capacités de SOC ». Las, selon lui, « les contrats encadrant ces prestations sont souvent fortement biaisés en faveur du fournisseur de services que de son bénéficiaire ».

Peter Firstbrook reconnaît bien volontiers que les entreprises aux budgets limités puissent externaliser les capacités de SOC. Mais pour lui, elles ne peuvent pas pour autant externaliser la réponse métiers : « si vous avez un gros incident de ransomware, quelqu'un aura la responsabilité de la récupération du code ou de la relance des activités. Et si c’est une brèche, les relations publiques et le juridique sont impliqués ». En somme, si le volet technique de la réponse à incident peut être en partie sous-traité, il y a bien d’autres volets pour lesquels il n’est pas possible de négliger la préparation.

Au fur et à mesure que les entreprises réalisent qu'elles doivent adopter une approche plus équilibrée en matière de sécurité – en combinant prévention et détection, avec un effort renouvelé pour améliorer les capacités d'intervention et de prévision –, elles doivent chercher à étendre leurs capacités SOC au-delà des seuls systèmes de gestion des informations et des événements de sécurité (SIEM).

Ainsi, Bryce Austin souligne que si « un SIEM est un bon début, ce n’est qu’un début ». Et cela notamment car « la qualité d'un SIEM dépend des données qu'il reçoit, et les connaissances des analystes sont plus importantes que le SIEM ».

Un rapport clair au risque

Alors pour Peter Firstbrook, l'intégration d’une solution de détection et de remédiation sur les hôtes (EDR), et des outils d'analyse du comportement des utilisateurs et des systèmes (UEBA) est utile pour détecter les menaces furtives pouvant échapper aux défenses périmétriques traditionnelles. En ajoutant à cela une couche d'orchestration et d’automatisation (SOAR), pour accélérer les processus de réponse.

Et puis vient la traditionnelle difficulté des responsables de la sécurité informatique à communiquer efficacement avec les directions et les responsables métiers. Et c’est là qu’intervient la définition de l’appétit pour le risque : « les professionnels de la sécurité et de la gestion des risques ont tendance à venir du monde de la technique et l'entreprise ne comprend pas la technologie. Alors nous cherchons continuellement de nouvelles approches de communication pour se mettre d'accord sur des choses comme les niveaux de risque qui sont acceptables », relève Peter Firstbrook. Et cela passe par la définition claire et pragmatique d’un appétit pour le risque en rapport avec les objectifs métiers.

Pour l’analyste, il convient de « considérer son énoncé sur l’appétit pour le risque comme une lettre de mission en matière de sécurité. Il s'agit de ce sur quoi la RSSI doit se concentrer, de ce qui est le plus important pour l'entreprise… une façon de communiquer avec l'entreprise et d'obtenir un accord et l'adhésion des métiers ». L’établissement de cet énoncé peut notamment passer par l’organisation d’ateliers avec ceux-ci.

L'authentification sans mot de passe gagne du terrain

Enfin, Gartner note une adoption croissante des techniques d’authentification sans mot de passe. Pour Peter Firstbrook, cette tendance s’explique sur le fait que les utilisateurs veulent des expériences plus fluides dans l’exercice de leurs fonctions. Et justement, selon l’analyste, l'authentification sans mot de passe combinée à la biométrie peut être beaucoup plus difficile à contourner que d'autres formes d'authentification à facteurs multiples. De quoi faire d’une pierre deux coups : améliorer la sécurité et l’expérience utilisateur.

Mais Bryce Austin souligne que l’authentification sans mot de passe nécessite de s’appuyer sur un appareil, une possession, et sur « quelque chose que l’on est » pour atteindre un niveau de maturité qui n’est pas encore là. Et d’estimer « qu’il nous reste cinq ans avant que l’authentification sans mot de passe devienne courante ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)