apinan - Fotolia
Détection et réponse à incidents : en route vers l’industrialisation
Les récentes évolutions du cadre réglementaire n’y sont pas pour rien. Mais les efforts consentis pour atteindre des niveaux de détection et de réaction appropriés apparaissent encore importants.
Déjà en 2015, Pierre Audoin Consultants indiquait que les grands groupes français se préparaient à réorienter leurs investissements en sécurité informatique, et se tourner vers la détection et la réponse aux incidents. Un an plus tard, le sujet occupait une place centrale lors de la conférence RSA. Le signe d’un intérêt incontestable.
Cela n’a rien d’innocent. En cause : des réglementations de plus en plus strictes. Celles-ci exigent en effet aux d’entreprises de disposer de moyens efficaces pour détecter des brèches de confidentialité et autres incidents de sécurité dont elles sont victimes. L’objectif est qu’elles puissent notifier ces incidents, d’abord auprès des autorités compétentes, mais également, auprès des détenteurs de ces données, dans le cas des responsables de traitements de données personnelles.
La fin de la seule prévention
Las, le fait est que beaucoup d’entreprises, en France (mais pas uniquement), semblent partir très loin. Et ce n’est pas hasard, ni un blâme : historiquement, la sécurité informatique s’est concentrée sur la prévention des incidents, à grands renforts de pare-feu et d’anti-virus. Même si le message est répété à l’envi, l’industrie de la sécurité informatique encourage à changer d’approche que depuis peu de temps : le temps est révolu où l’on pouvait s’imaginer que l’incident ne surviendrait pas ; il faut désormais accepter la nature faillible de ses défenses et s’engager résolument sur la voie de la détection et de la réponse aux incidents. Le message peut paraître simple, sinon simpliste, mais sa concrétisation l’est assurément bien moins.
Outils, processus… toute une organisation à inventer
Pour beaucoup d’entreprises, s’équiper de se doter de cette capacité de détection et de réponse aux incidents n’a rien de trivial. C’est même un important défi tant technique qu’organisationnel. La mise en place d’un centre opérationnel de sécurité (SOC) l’illustre d’ailleurs largement. Et ce n’est pas un hasard si les offres de SOC managés se sont récemment multipliées : il ne s’agit pas uniquement de répondre à une pénurie de compétences.
Et si les capacités de détection sont là, la réponse n’est pas plus triviale. Les erreurs à éviter sont nombreuses, avant l’incident, dans sa gestion, comme après. Surtout, avec les volumes d’alertes qui s’accroissent à mesure que les capacités de détection progressent et les biais psychologiques susceptibles d’affecter la réponse, il n’est guère surprenant que l’automatisation séduise de plus en plus.
Mais avant d’en arriver là, il convient d’examiner la manière dont s’articule la relation entre le SOC et les équipes de réponse à incident (CSIRT), sans oublier de se pencher sur leur trousse à outils.