Automatisation, Action !
L’hétérogénéité des systèmes d’information, la déportation des données dans le Cloud, le nomadisme sont autant de paramètres qui rendent difficile la définition du périmètre de protection des entreprises. A cela s’ajoute la professionnalisation de la cybercriminalité qui rend les menaces plus nombreuses et polymorphes.
Dans cet environnement sinueux, et alors que les analystes des centres d’opérations de sécurité (SOC) et experts de la sécurité du Cloud sont des denrées rares, il est logique de vouloir utiliser la technologie pour automatiser des tâches de détection, d’évaluation et de réponse. Faut-il qu’il s’agisse de situations connues et dont les solutions de remédiation sont reconnues. Des technologies existent sur le marché et résonnent sur des cas d’usage, comme l’investigation sur le Phishing par exemple.
Le principe de la Security Automatisation et non de l’IA, comme bon nombre d’éditeurs tentent de nous le faire croire, est bel et bien de remplacer le travail de l’analyste par celui d’une machine. La machine collecte les informations, les agrège, en les confrontant à une base de suspicions connues pour enclencher in fine les protocoles de remédiation et la communication aux utilisateurs qui va bien, dès lors évidemment que la réponse à ce type d’alertes est d’ores et déjà identifiée.
En cas de doute, et c’est tout là l’intérêt de ces solutions interfacées aux outils de Security Information and Event Management (SIEM) et qui intègrent l’orchestration de la sécurité et la réponse à incident, à l’inverse des SIEM classiques, c’est que l’humain peut reprendre la main pour une investigation plus fouillée et ainsi apporter une décision éclairée. Ces outils couplés directement à des sandboxes récupèrent facilement et automatiquement ces informations et en permettent l’investigation quand le croisement avec la base de threat intelligence, à savoir l’ensemble des connaissances sur les menaces nouvelles ou existantes fondé sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications, n’a rien donné.
Cela montre bien que l’IA est encore au stade de la science fiction quand il s’agit de cyber sécurité puisqu’il n’y a pas de décision réelle de la machine en dehors de cas connus ou de signaux faibles déjà renseignés.
L’automatisation sans IA forte n’en demeure pas moins une avancée bien réelle et fiable qu’il serait temps d’adopter pour oxygéner un système qui s’étouffe.
Les affiches de l’automatisation
Le concept de l’automatisation existe certes, mais le moins que l’on puisse dire c’est que les références du moins françaises ne sautent pas aux yeux. La situation d’engorgement que connaît la cyber sécurité aujourd’hui s’en ressent aussi jusque dans sa capacité d’innovation. S’il est vrai que les entreprises de l’hexagone sont très peu à faire évoluer la technologie de leur sécurité opérationnelle, il n’existe pas plus de produits français innovants sur le marché du security orchestration automation and response (SOAR).
Quels sont ces produits ?
Viendra surement dans un futur proche un Magic Quadrant du Gartner sur ces produits d’automatisation, mais pour l’heure ce n’est pas encore un marché suffisamment mature. On peut citer néanmoins Phantom racheté par Splunk, Komand racheté par Rapid 7, IBM Resilience, Servicenow ou encore deux produits de startup, Demisto et Swimlane. Plus ouvert aux nouvelles technologies, les Anglo-Saxons sont clairement plus en avance. La Black Hat 2018 accueillait d’ailleurs de grands stands de démonstrations avec l’ensemble de ces acteurs.
Pour que ce soit le cas en France, encore faudrait-il que les entreprises basculent leur sécurité dans le modernisme de la même façon qu’elles ont basculé leurs applications dans le Cloud, de la même façon qu’elles ont pris le virage de la virtualité ...
L’envers du décor : Une sécurité encore bien manuelle
Travailler sur les signaux faibles, voilà le grand dada du marché de la cyber et c’est une bonne chose. Mais quand un SOC a déjà du mal à gérer correctement voire même repérer ne serait-ce que les signaux forts d’une attaque, on peut se poser des questions...
Si la mise en place d’un SOC rassure pour surveiller et évaluer la menace pour mieux la contrer, la réalité montre en effet que les outils classiques de SIEM sont submergés par le bruit incessant des alertes. En parallèle de la question technique, se pose le problème du volet humain. Les SOC sont remplis d’analystes plus ou moins compétents, plus ou moins expérimentés mais surtout pour la plupart formés à l’ancienne école.
Ce qui se passe au quotidien, ce sont des analystes la tête dans le guidon, qui armés de leurs fiches réflexes, font un travail d’orfèvre à faire de la remédiation manuelle, comme on leur a appris. Le bon informaticien est celui qui fait des scripts pour gagner du temps mais pour se faire, encore faut-il qu’il soit compétent et formé.
A n’avoir qu’une vision produit de la sécurité, on en oublie la gestion de l’humain... Entre frustration, compétences qui s’appauvrissent à force de ne pas évoluer, besoin de nouveaux défis, niveau d’exigence des attentes toujours plus grand sur le DevSecops et les résultats, c’est plutôt le turn-over à grande échelle et l’ambiance tendue qui attendent les équipes des SOC.
La peur du changement technologique aidant, les budgets qui s’amenuisent faute de résultats assez concluants, c’est le cercle vicieux qui s’installe. Il est assez incroyable et rageant d’avoir vu au moment des vagues de ransomwares Wannacry et Not Peyta, des analystes passer des jours entiers à faire leur remédiation à la main alors qu’avec des outils configurés et des playbook mis en place au préalable, cette remédiation aurait pris quelques minutes pour un résultat exemplaire. C’est un peu comme un mauvais soap qui se joue…
Plus que l’IA, c’est donc aujourd’hui le pilotage de l’intelligence humaine et sa rationalisation auxquels il va falloir s’attacher et vite avant de s’empêtrer dans des situations inextricables.
Alex Stamos ex-RSSI de Facebook déclarait d’ailleurs en 2016 « l’industrie de la sécurité est bien plus obsédée par le Zero Day que par l’automatisation des tâches du quotidien. »
Après, en effet, faut-il encore savoir ce qu’on veut…
Sécurité : Place à l'Automatisation, l'Intelligence Artificielle attendra !
Le vrai cinéma est celui qui ne montre pas la vie telle qu'elle est. Et bien, le monde de cybersécurité adore le cinéma... Il ne se passe pas un jour sans que les éditeurs de produits de sécurité ne s'enorgueillissent de produits d'intelligence artificielle. A y regarder de plus près pourtant, ce sont plutôt les artifices du marketing qu'on peut admirer davantage que ceux de l'intelligence des produits. Les metteurs en scène de la cybersécurité, déjà en difficulté à prouver le ROI de leurs oeuvres ont pourtant bien besoin de fiabilité, à l'heure où leurs infrastructures sont de plus en plus complexes, les menaces se durcissent et où les acteurs de la sécurité se font de plus en plus rares.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire