Sergej Khackimullin - Fotolia

L’automatisation appelée à jouer un rôle dans la sécurité des SI

Face à la multiplication des menaces et la réactivité croissance des attaquants, automatiser au moins une partie des défenses apparaît incontournable.

L’industrie de la sécurité informatique apparaît déterminée à pousser l’automatisation dans la réponse aux incidents. En début d’année, FireEye s’est ainsi offert Invotas, dont la plateforme, compatible notamment avec les produits Blue Coat, Cisco, Splunk, McAfee, Mobile Iron, TippingPoint, Palo Alto ou encore ArcSight, s’installe au-dessus d’un système de gestion des événements et des informations de sécurité (SIEM) pour automatiser la réaction aux incidents. IBM s’est quant à lui offert Resilient Systems, confirmant, si c’était nécessaire, une tendance de fond.

Dans le courant de l’été, un pas de plus dans cette direction a été franchi, avec le Cyber Grand Challenge organisé par la Darpa, l’agence américaine chargée des projets de défense avancés, et opposant des hackers totalement cybernétiques, sans la moindre intervention humaine. Le sujet tient apparemment à cœur à l’administration américaine : son agence du renseignement, la NSA, mise sur l’intégration et l’automatisation pour assurer la sécurité de ses systèmes d’information, et ainsi pouvoir traiter plus vite un nombre considérable d’incidents.

Pour Mike O. Villegas, vice-président de K3DES, l’automatisation doit, de fait, faciliter « la protection, la surveillance et l’identification d’actifs qu’ils seraient impossibles d’assurer manuellement. Tous les logiciels ont besoin d’être adaptés à l’environnement unique d’une entreprise et mis à jour pour maintenir le niveau de protection et de surveillance requis. La clé consiste à trouver le bon équilibre où maintenance n’est que routine, nécessaire mais suffisante ».

Pas question pour autant, pour lui, de miser sur l’automatisation pour ensuite fermer complètement les yeux sur les incidents traités : « le manque d’attention laisserait sans aucun doute une entreprise exposée à des vulnérabilités inconnues et à des attaques ». Dès lors, « certains outils d’automatisation nécessitent moins de maintenance que d’autres, mais tous devraient être examinés périodiquement. Des outils sont utilisés pour s’assurer que les serveurs et les logiciels sont à jour de correctifs, des agents sont installés et actifs sur des équipements visés, des alertes sont générées par la corrélation d’événements, les procédures d’escalade nécessitent une surveillance attentive, et les remédiations surviennent rapidement pour les vulnérabilités à haut risque ». Mais tout cela « nécessite temps, recherche et actions de la part des membres de l’équipe de sécurité, pour maintenir les niveaux appropriés de protection et de supervision ». Dès lors, « croire que ces outils de sécurités fonctionnent sur pilote automatique n’est pas prudent ».

Reste que, pour Jonathan Schnittger, chez 1E, un spécialiste de l’automatisation du cycle de vie du logiciel, l’automatisation est un passage obligé. Dans les colonnes du blog de Tripwire, il estime ainsi que « les approches manuelles de l’administration de systèmes et de la sécurité vont devenir de moins en moins efficaces à mesure que les systèmes seront de plus en plus intégrés ». Et pour une bonne et simple raison : « chaque instance d’intégration augmente le nombre de processus qui doivent être surveillés et le volume de données à protéger ».

Et il n’est pas seul à penser ainsi. Au printemps dernier, Algosec a conduit une étude sur le sujet, auprès de 350 professionnels de la sécurité informatique dans le monde entier. Plus de 8 sur 10 d’entre eux anticipent une augmentation du recours à l’automatisation dans la sécurité informatique d’ici à trois ans. Une progression motivée principalement par celle du nombre de menaces et d’alertes générées par les systèmes de protection, mais également par le temps « consacré à des tâches manuelles ». Et c’est sans compter avec le fait que les attaquants aussi recourent à l’automatisation, ce qui renforce le besoin d’automatisation des défenses.

Avec nos confrères de SearchSecurity.com.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)