Alertes de sécurité réseau : dépasser les difficultés
Les alertes de sécurité réseau sont nombreuses mais peu informatives. Il existe toutefois des stratégies permettant de dépasser ces difficultés pour améliorer la sécurité.
Une étude récente de la Cloud Security Alliance et de Skyhigh Networks, intitulée IT Security in the Age of Cloud, a montré qu’un nombre significatif de professionnels de l’IT et de sa sécurité peinent à suivre le rythme face aux alertes de sécurité remontées depuis le réseau. Près d’un tiers des 228 répondants ont ainsi indiqué tout simplement ignorer ces alertes du fait d’un nombre trop élevé de faux positifs. Plus du quart des sondés jugent en outre recevoir plus d’alertes que ce à quoi ils peuvent consacrer une enquête. Ces résultats ne trahissent pas simplement des brèches en devenir ; pour l’essentiels, ils constituent la négation d’une part significative de tout ce qui a été fait jusqu’ici pour améliorer la sécurité des entreprises.
En outre, 40 % des répondants assurent manquer de renseignements immédiatement exploitables sur les alertes qu’ils reçoivent. Qu’est-ce cela révèle des contrôles et des processus de sécurité qui ont fait jusque-là l’objet d’investissement ? Si ce n’est pas très flatteur, cela m’empêche pas près de 54 % des sondés d’indiquer que leurs organisations prévoient d’augmenter leur budget sécurité dans le courant des 12 prochains mois. Ce qui appelle naturellement la question suivante : vont-ils simplement dépenser plus en espérant régler le problème ? Hélas, les remèdes rapides et faciles ne fonctionnent pas – et ne fonctionneront jamais. Pour dépasser ces difficultés, il est nécessaire d’adopter un regard neuf sur la manière dont est appréhendée la sécurité de l’information. Et peut-être revoir l’outillage.
Dès lors, comment avancer ? La situation de chacun est unique, mais il existe des stratégies et des tactiques qui peuvent être utilisées pour gagner un semblant de contrôle sur la situation.
La première étape consiste à s’accorder sur ce qui est important. Et en l’occurrence, sur quels types d’attaques sur quels systèmes spécifiques de l’infrastructure méritent l’attention des équipes IT et de sécurité. Cela peut recouvrir les applications de l’entreprise situées dans la DMZ, ainsi que les alertes remontées par les pare-feu et les systèmes de détection d’intrusion (IDS). Cela peut également recouvrir les points de terminaison tournés vers l’interne, en incluant peut-être prévention des fuites de données (DLP) et protection contre les logiciels malveillants.
En interne comme en externe, un fournisseur de service de gestion des informations et des événements de sécurité (SIEM) doit être impliqué. Et surtout, il s’agit de se demander quelles informations – nouvelles ou améliorées – doivent être fournies, ou au moins lesquelles peuvent faciliter le processus de prise de décision.
Généralement, la plupart des problèmes liés aux alertes de sécurité remontées du réseau sont liés au manque d’affinement de la configuration des systèmes de sécurité utilisés. Compte tenu des contraintes de temps et du manque de compétences de gestion du temps, ainsi que des écarts de connaissances et de formation liées aux produits et événements de sécurité – quoi chercher –, de nombreux systèmes sont déployés suivant un mode « installer et oublier ». Mais sans un suivi et un ajustement des configurations continus des pare-feu, IDS, systèmes de prévention des intrusions (IPS) et autres SIEM, il n’est pas possible de réussir à mesurer l’efficacité des efforts consentis. Chaque système de sécurité doit être traité dans une boucle d’amélioration continue.
Si les entreprises ne consacrent pas temps et ressources nécessaires à ce travail continu, elles ne font que créer un sentiment trompeur de sécurité et se préparent à échouer à long terme.
Adapté de l’anglais.k