iStock
Indispensable, l’automatisation s’impose dans les centres opérationnels de sécurité
Darktrace vient d’ajouter à sa solution de détection d’anomalies sur le trafic réseau, un outil d’automatisation des investigations. Une évolution naturelle et nécessaire pour beaucoup.
Darktrace vient d’annoncer Cyber AI Analyst, une fonctionnalité d’automatisation des premiers niveaux d’investigation des alertes dont il revendique qu’elle doit en réduire les délais de triage d’un maximum de 92 %. Cette initiative n’est pas sans rappeler celles d’autres acteurs, comme Jask, Exabeam, Siemplify ou encore SecBI : il ne s’agit pas d’épauler les analystes à grands renforts d’automatisation à base de scripts et autres playbooks, mais à partir de technologies d’intelligence artificielle. Et ils ne sont pas seuls. Le domaine de l’automatisation et de l’orchestration (SOAR) n’est pas exclusif aux spécialistes et de nombreux acteurs y prennent pied. On pense bien sûr à IBM, qui s’est offert Resilient Systems début 2016, ou encore FireEye, qui l’avait précédé avec Invotas, et Microsoft, avec le rachat d’Hexadite. Et c’est sans compter avec Splunk qui s’est offert Phantom début 2018, ou Rapid7 qui avait racheté Komand un an plus tôt. La rumeur avait prêté à Palo Alto Networks l’ambition d’acquérir Demisto, en début d’année - une opération confirmée un mois plus tard.
Le fait est que les entreprises semblent de plus en plus tentées par l’automatisation pour combler leurs lacunes de sécurité.
Antonin Hily, directeur technique chez Sogeti, le souligne d’ailleurs : « l’automatisation dans la réponse est un attendu très fort des centres opérationnels de sécurité (SOC) ». Et pour une bonne raison : « ce dont a besoin un SOC, c’est que les incidents de faible niveau soient traités rapidement, contextualisés et expliqués au mieux, pour que le client prenne les actions nécessaires. Et si une machine peut le faire [à la place d’un analyste], c’est mieux.
Chez Wavestone, Gérôme Billois constate la même tendance : « il y a un vrai besoin de lutter contre la ‘‘SOC fatigue’’ et augmenter la valeur et l’intérêt des tâches gérées par les analystes ». Surtout, relève le RSSI Loïs Samain, il faut trouver un moyen de « gérer le problème de recrutement des ressources. Un analyste de niveau 1 devient compliquer à trouver, et pouvoir rentabiliser le temps de ses analystes, c’est vraiment une chose intéressante ». Et cela d’autant plus que, selon Antonin Hily, « 25 % du temps passé à l’analyse est du temps perdu [sur] des faux-positifs ».
Le RSSI Bertrand Méens accueille toutefois la nouvelle avec prudence. Pour lui, la SOAR « est une technologie qui répond à un besoin, mais il ne faut pas que les éditeurs tombent dans le bullshit marketing à outrance comme ce qu’il s’est fait avec le sandboxing ou en ce moment avec l’IA ». En substance, « il ne faut pas survendre », et éviter les messages où « un bon algorithme devient une intelligence artificielle ultra-compétitive qui révolutionnera le marché ».
Et puis, selon Quentin Bédéneau, consultant indépendant en cybersécurité pour Data Templar, et Loïs Samain, l’analyste virtuel de Darktrace n’est pas forcément une alternative aux outils de SOAR. Pour le RSSI, il y a notamment le fait que « les solutions de SOAR peuvent souvent s’installer en local ». De quoi éviter une remontée de données vers le cloud, dont Antonin Hily souligne que « c’est un immense sujet aujourd’hui. Le contexte actuel ne nous le permet pas vraiment en France », en particulier pour certaines organisations soumises à des contraintes réglementaires fortes.
Quentin Bédéneau souligne au passage que « laisser des actions à des programmes a encore du mal à passer pour certains DSI », en raison de la « peur de la boîte noire ». Et Cyril S. d’ajouter qu’il « restera toujours des SOC qui voudront définir leurs propres playbooks de réponse via Phantom ou Ansible en automatisant juste une suite d’actions basiques évitant les tâches avec peu de plus-value pour un analyste ».