LMi-MAG 8 Juillet 2021 - Flipbook - Page 37
ATT&CK. M. Kellermann conseille également aux RSSI
de ne pas acheter de produits de sécurité en licence perpétuelle, mais d’opter de préférence pour du logiciel SaaS
afin de gagner en flexibilité et de suivre le rythme des
innovations futures. Les RSSI doivent de plus s’assurer
que leurs nouveaux achats n’ont pas un but unique, mais
qu’ils peuvent être intégrés dans leur environnement via
des API et, en fin de compte, travailler de manière cohérente avec les autres technologies de sécurité pour fournir
les informations nécessaires à la détection des menaces
qui représentent les plus grands risques pour l’entreprise. « Il faut parvenir à réduire le nombre de contrôles
de sécurité à cinq ou six pour obtenir cette visibilité »,
précise M. Kellermann.
Investir dans l’automatisation
Les experts font remarquer que les équipes de sécurité sont tellement submergées par le nombre d’alertes
qu’elles désactivent certaines capacités de détection
juste pour s’en sortir, et c’est justement ce volume élevé d’alertes générées par les outils qui contribue à leur
sous-utilisation. C’est un problème courant. 70% des
personnes interrogées dans le cadre d’une enquête
réalisée récemment par Dimensional Research pour
le compte de Sumo Logic ont déclaré que le nombre
d’alertes de sécurité qu’elles reçoivent quotidiennement
a au moins doublé au cours des cinq dernières années.
En outre, 93 % d’entre elles ont signalé que leurs équipes
de sécurité ne pouvaient pas traiter toutes les alertes de
sécurité dans la même journée, et 83 % ont affirmé que
leurs équipes de sécurité étaient fatiguées par ces avertissements. Pour remédier à ce problème, M. Kronick
conseille aux RSSI d’automatiser autant que possible le
processus de façon à ce que le personnel n’ait à traiter
que les signaux réellement problématiques. M. Kronick
ajoute que la mise en œuvre de l’automatisation n’aide
pas seulement les RSSI à maximiser la valeur des technologies qu’ils ont déjà déployées, mais qu’elle permet
aussi d’améliorer leur posture de sécurité globale, ce qui
présente un avantage encore plus important.
nombreux outils qu’elles utilisent », souligne-t-il. L’autre
exemple est celui de l’équipe de sécurité qui ne comprend
pas pleinement les capacités d’un outil et ne l’utilise donc
pas au maximum de son efficacité – un scénario qui peut
être amélioré par un meilleur partenariat avec le fournisseur. « Cela peut arriver quand l’équipe de sécurité
ne considère pas le fournisseur comme une source d’expertise externe plus approfondie à même d’améliorer la
sécurité. Chaque fois que l’on fait appel à un fournisseur
de sécurité, on ne cherche pas seulement un outil : on
cherche aussi à renforcer l’efficacité de son programme
de sécurité dans un domaine où le fournisseur est un
expert, et pas nous. C’est la raison pour laquelle il est
important d’établir une relation de grande confiance avec
le fournisseur et son équipe », précise-t-il.
Privilégier l’efficacité
Même si les équipes de sécurité doivent s’assurer
qu’elles tirent le meilleur parti de leurs technologies
existantes afin d’éviter les redondances involontaires
et les dépenses inutiles, M. Daswani insiste sur le fait
que l’usage maximal des outils ne doit pas être un critère de réussite. Oui, selon lui, les RSSI doivent éviter
« les mises en œuvre de mesures de sécurité diverses
et variées mal conçues ». Mais c’est l’efficacité de la
contre-mesure mise en place qui doit servir de principal
indicateur. « Si vos contre-mesures vous permettent une
efficacité de 99,9 % pour protéger l’entrée de menaces
identifiées, peu importe si vous n’avez pas utilisé toutes
les fonctionnalités disponibles. Un plus grand nombre
de fonctionnalités peuvent contribuer à renforcer les
contre-mesures, mais le véritable indicateur reste celui
de l’efficacité, l’usage étant l’autre indicateur à considérer en second lieu. »
APPROFONDIR
Créer des partenariats
Maarten Van Horenbeeck, RSSI de l’éditeur Zendesk, cite
deux exemples montrant que la sous-utilisation est révélatrice d’un problème. Le premier est celui où l’équipe
de sécurité achète un outil et le met en œuvre dans son
propre domaine de contrôle, alors qu’il serait préférable
que l’équipe établisse un partenariat avec l’ensemble de
l’entreprise pour que d’autres équipes l’adoptent. « Il
s’agit souvent d’outils d’évaluation de la protection. Pour
être efficaces, les équipes de sécurité doivent externaliser radicalement la fonction de sécurité et favoriser la
transmission de leurs connaissances avec l’ensemble de
l’entreprise, notamment en partageant les capacités de
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-shelfwares
LIRE EN LIGNE
Article
cutt.ly/article-shelfwares
37