Selon un rapport d’Observe, spécialisé dans l'observabilité, même si le nombre d'incidents de sécurité continue d'augmenter dans tous les secteurs, 47 % des personnes interrogées prévoient de réduire leurs effectifs de sécurité. Fait remarquable, 62 % de ces entreprises ont également signalé un nombre plus élevé d'incidents de sécurité par mois. D’après ce rapport basé sur l’enquête réalisée par CITE Research auprès de 500 décideurs et praticiens de la sécurité, les entreprises qui prévoient de diminuer leurs effectifs dans le domaine de la cybersécurité envisagent aussi de retreindre leurs dépenses d'infrastructure. De manière générale, il y a une pénurie de professionnels de la cybersécurité alors qu'ils sont très demandés en raison du nombre croissant d'incidents.
La récente étude « Cybersecurity Workforce Study » de l'International Information Systems Security Certification Consortium (ISC2), indique que la pénurie de main-d'œuvre dans ce domaine a atteint un niveau record de près de 4 millions de personnes. Selon le rapport d'Observe, la quasi-totalité des entreprises interrogées (99 %) accorde la priorité à l'observabilité de la sécurité. « L'observabilité de la sécurité emprunte des concepts à l'observabilité pour permettre aux équipes chargées des opérations de sécurité de comprendre les risques et les incidents d'une manière plus holistique », a déclaré Jack Coates, directeur principal de la gestion des produits chez Observe, dans le communiqué de presse publié par l'entreprise.
Difficulté à intégrer les systèmes
Le rapport révèle que les petites entreprises ont des difficultés à plusieurs niveaux pour intégrer cette observabilité dans leurs systèmes de sécurité. Elles n'ont pas non plus les ressources nécessaires pour engager les bonnes personnes pour utiliser les outils de sécurité. Cependant, cette limite en ressources les rend prudentes en matière de dépenses, de sorte qu’elles évitent d’adopter ces produits à la suite d'un battage médiatique. Pour ce qui est des grandes entreprises, si elles ont accès à une gamme étendue d'outils, elles ont du mal à les intégrer pour obtenir des performances optimales. Environ 95 % des sondés se servent d’un outil de gestion des incidents et des événements de sécurité (SIEM) pour surveiller et alerter sur les cyber-incidents. D'autres catégories de solutions, comme la sécurité, l'orchestration, l'automatisation et la réponse (Security, Orchestration, Automation and Response, SOAR), l'analyse du comportement des utilisateurs et des entités (UEBA) et la détection et la réponse des points d'extrémité (User and Entity Behaviour Analytics, EDR), n'ont pas eu d'impact sur la popularité du SIEM.
Néanmoins, selon le rapport d’Observe, une amélioration du SIEM est possible, 46 % des personnes interrogées envisageant d'adopter un nouvel outil d'observabilité au cours des 12 prochains mois. « Jusqu'à présent, le SIEM a été utilisé comme plateforme d'observabilité de la sécurité… et il ne fonctionne pas aussi bien qu'il le pourrait. La création et la maintenance des transformations de données en schéma sont coûteuses et sujettes aux erreurs, ce qui nuit à toute mise en œuvre du SIEM », indique le rapport. Cela signifie que les entreprises disposant d'un budget plus important peuvent envisager d'autres options.
Une délégation au SOC, mais une vigilance sur le cloud
Un élément positif a été révélé par l'enquête : à savoir que 73 % des personnes interrogées combinent la réponse aux incidents (Incident Response, IR) avec un centre opérationnel de sécurité (Security Operations Center, SOC) en interne pour détecter et répondre aux incidents de sécurité. D'autre part, 13 % n'utilisent que l'IR et 7 % dépendent uniquement des équipes SOC pour découvrir les événements de sécurité. « Les entreprises ressentent clairement le besoin d'avoir des équipes compétentes capables de rechercher des menaces inconnues et d'y répondre », indique encore le rapport.
L'adoption du cloud continue de croître, et 74 % des entreprises interrogées déclarent avoir construit la majorité de leurs systèmes actuels sur le cloud. Malheureusement, ces systèmes natifs n'ont pas modifié la nature de la collecte de données. « Alors que 35 % de l'instrumentation provient de l'infrastructure, les cas d’usage de la sécurité et des opérations nécessitent tous deux des agents », indique le rapport d’Observe. En outre, ce dernier révèle que 84 % des entreprises interrogées combinent les données de sécurité et d'exploitation dans un seul outil d'analyse, ce qui améliore la collaboration entre les équipes de sécurité et d'exploitation, favorise la coordination et accroît la rentabilité.