Les centres d'opérations de sécurité (SOC) ont tendance à courir après de nouveaux outils brillants, dans l'espoir de trouver une solution miracle à la fatigue croissante des alertes et à la pénurie de talents. Compte tenu de la complexité de la cybersécurité commerciale et d'entreprise, nous devons donner la priorité à la cyber-résilience, c'est-à-dire à la capacité de se préparer aux cyber-attaques, d'y répondre et de s'en remettre.
L'obtention de cette résilience ne commence pas par la mise en œuvre de l'IA la plus coûteuse, mais par une approche disciplinée et pragmatique de l'automatisation.
La cohérence scénarisée l'emporte sur l'IA créative
Tout d'abord, définissons l'automatisation. En tant que responsables de la sécurité, nous devons faire la distinction entre l'automatisation qui fournit des résultats cohérents et résilients et les solutions d'IA complexes.
L'automatisation, à la base, est simplement l'élimination de tout ce que vous faites manuellement et de manière répétée.
Pour de nombreuses fonctions de sécurité essentielles, l'automatisation scénarisée, sous la forme de playbooks et de workflows construits sur des plateformes SOAR, reste le meilleur choix pour la résilience.
- La prévisibilité est synonyme de résilience : Dans les environnements sensibles, axés sur les processus, vous avez besoin de résultats prévisibles et vérifiables. Pour des tâches telles que l'application de règles de pare-feu, vous ne voulez absolument pas qu'un agent d'intelligence artificielle réinterprète votre intention de manière créative. Les scripts garantissent une mise en œuvre identique d'un protocole autorisé à chaque fois, ce qui est fondamental pour maintenir un état connu et sécurisé.
- Définir la place de l'IA : Les agents d'IA ont certainement un rôle à jouer, mais c'est souvent en tant qu'outil d'automatisation. Utilisez l'IA pour gérer les éléments humains désordonnés, tels que la normalisation et la validation des entrées de mauvaise qualité (par exemple, la normalisation des tickets disparates du service desk) avant de les transmettre à un script fiable et rentable pour l'exécution.
- Se concentrer sur l'efficacité des coûts et des ressources : L'automatisation de base est bon marché, prévisible et peu gourmande en ressources, ce qui permet de réduire littéralement les coûts. L'IA complexe est coûteuse et lourde en termes de calcul. Nous recommandons d'adopter l'état d'esprit "Basic First" : automatisez tout ce que vous pouvez avec des scripts prévisibles et réservez l'IA coûteuse aux problèmes vraiment difficiles et à forte variabilité.
Négliger l'optimisation via l'automatisation nuit à la résilience
Si l'automatisation est si efficace, pourquoi tant de SOC s'enlisent-ils encore dans le travail manuel ? La réponse se trouve dans la malheureuse réalité de la façon dont nous priorisons le travail de sécurité.
Nous associons souvent l'automatisation à la "réduction des coûts" plutôt qu'à la "réduction des risques". Elle n'a pas l'éclat du déploiement d'un nouvel outil ou d'une réponse à un incident très médiatisé.
- Effort invisible : Nous ne reconnaissons pas ou ne promouvons pas les analystes et les ingénieurs qui optimisent une poignée de cas d'utilisation. Le gain d'efficacité qui en résulte (par exemple, 4 % d'efficacité en plus) passe inaperçu au quotidien. Par conséquent, les analystes et les ingénieurs considèrent ce travail comme "ingrat" et ennuyeux.
- Le cycle du désastre : Cette négligence s'aggrave au fil des mois jusqu'à ce que l'organisation se rende soudain compte qu'elle a besoin d'un projet massif et coûteux juste pour récupérer le temps perdu par les analystes. Tout comme la documentation ou la gestion de la configuration, l'optimisation est un travail de terrain qu'il est facile d'ignorer jusqu'à ce qu'une catastrophe vienne forcer le problème.
Ce manque d'amélioration continue a un impact direct sur la cyber-résilience. Les analystes submergés par le triage manuel et les faux positifs manquent des alertes critiques et souffrent de fatigue décisionnelle, ce qui paralyse la capacité du SOC à réagir efficacement.
Accélérer la résolution des deux plus grands défis de l'automatisation
En tant que responsable de la sécurité, vous êtes chargé d'aligner la sécurité sur l'entreprise, tout en confiant à votre équipe la tenue de la comptabilité opérationnelle. C'est là qu'un fournisseur de services de sécurité gérés (MSSP) ciblé et spécialisé peut être un véritable partenaire stratégique, en résolvant les deux plus grands défis de l'automatisation : la hiérarchisation des priorités et la continuité.
Priorités définies par des experts
Les fournisseurs de services de sécurité gérés (MSSP) apportent un point de vue extérieur qui permet de surmonter l'inertie et la politique internes. Ils vous aident à vous concentrer sur l'impact immédiat :
- Les 10 principales pertes de temps : Ils s'appuient sur une méthodologie reproductible pour identifier rapidement vos 10 processus les plus importants en fonction de la consommation de temps la plus élevée (fréquence X temps par événement). Ne gaspillez pas de budget sur le point numéro 27 de votre liste, par exemple. En se concentrant sur les 10 principaux processus, on s'assure que chaque dollar dépensé pour un playbook et un script cible les tâches les plus pénibles et les plus gourmandes en ressources.
Par exemple, une tâche critique qui prend 30 minutes mais ne se produit qu'une fois par mois n'est pas prioritaire. Comparez-la à une simple recherche d'enrichissement qui ne prend que cinq minutes mais qui se produit 80 fois par semaine. Quelle est la tâche qu'il est le plus logique d'automatiser ?
- L'automatisation permet de réduire le temps de retour sur investissement : Les experts des MSSP sont hautement qualifiés pour repérer les tâches les moins prioritaires. Il s'agit de tâches telles que les recherches externes manuelles, l'enrichissement et la collecte de données ad hoc que vos analystes effectuent quotidiennement. Ils peuvent ensuite les convertir en scripts d'automatisation robustes et économiques.
Institutionnaliser la boucle de rétroaction
La plus grande valeur d'un MSSP boutique est sa capacité à intégrer l'automatisation comme une fonction permanente, éliminant ainsi le problème de la négligence :
- L'ingénierie des processus : Les MSSP sont capables de concevoir des boucles de rétroaction automatisées dans le flux de travail de votre SOC. Cela inclut l'étape cruciale qui consiste à demander aux analystes après chaque événement : "S'agissait-il d'un faux positif ?" et "Aviez-vous de nombreuses étapes manuelles qui pourraient être automatisées ?" Cela permet de faire émerger en permanence de nouveaux candidats à l'automatisation au-delà d'un audit annuel.
- Maîtrise et personnalisation de la SOAR : Bien que les plateformes SOAR modernes soient largement dépourvues de code, elles nécessitent toujours une expertise pour construire des playbooks conditionnels complexes nécessaires à divers environnements d'entreprise (multi-cloud, OS mixte). Un MSSP spécialisé apporte une expertise approfondie et multiplateforme, garantissant la mise en œuvre, la maintenance et la mise à jour correctes des playbooks personnalisés en fonction de votre profil de risque.
La condition préalable à une automatisation réussie
Enfin, n'oubliez jamais la vérité fondamentale de l'amélioration des processus de sécurité :
L'automatisation ne peut pas réparer un processus défectueux.
En tant que RSSI, votre partenariat avec un MSSP doit commencer par un mandat visant à réparer les intrants défectueux. Si les tickets sont en désordre ou si la qualité des données est médiocre, l'utilisation d'un agent d'IA pour les nettoyer avant d' appliquer l'automatisation scénarisée garantit que vous mettez en œuvre une résilience prévisible et de qualité, et pas seulement une entrée et une sortie plus rapides des déchets.
En faisant appel à un MSSP spécialisé, vous accédez aux ressources spécialisées et à la discipline de processus nécessaires pour que vos équipes internes se concentrent sur des tâches stratégiques à forte valeur ajoutée.
Le résultat ? Vous disposerez d'une opération de sécurité plus efficace et manifestement plus résistante.