À l’ère de la transformation numérique, les services automatisés se sont assurés une place de choix dans l’agenda de la plupart des organisations. Cependant, jusqu’à récemment, la sécurité informatique est restée en retrait. D’autre part, les professionnels de l’informatique sont surchargés de travail et en sous-effectif. Les difficultés commencent dans les centres d’opérations de sécurité (SOC) qui, dans de trop nombreux cas, sont gérés selon une dynamique dépassée. La complexité des appareils modernes, les travailleurs à distance et les environnements multi-cloud ont poussé le fonctionnement de ces centres à des niveaux d’imprévisibilité sans précédent. Ces transformations, combinées aux méthodes avancées utilisées dans les ransomwares et les attaques de la chaîne d’approvisionnement, sont susceptibles d’entraîner une catastrophe à venir pour toute organisation qui n’entreprend pas de moderniser son infrastructure de sécurité.
Les procédures traditionnelles ouvrent la voie à de nouvelles attaques
On pourrait l’appeler SOC 1.0. Le centre de sécurité traditionnellement axé sur l’héritage (SIEM et IDS) devient obsolète pour répondre aux cybermenaces modernes. Les outils qu’elle utilise généralement coûtent très cher, mais donnent des résultats limités, ne détectent pas les attaques en cours et se concentrent davantage sur la prévention des menaces que sur la mise en place de défenses résistantes contre celles-ci. De plus, comme les technologies utilisées aujourd’hui se sont éloignées de la pensée traditionnelle des SOC, les analystes s’efforcent de les gérer manuellement à partir de sources de données limitées, ce qui ne permet de tirer que des conclusions partielles. En fin de compte, l’entreprise se retrouve avec un manque de visibilité et une équipe de sécurité travaillant dans des workflows inefficaces à un coût élevé.
L’heure du changement a donc sonné. Nous avons souvent vu des techniques de prévention échouer à détecter les ransomwares : il s’agit d’attaques créées par l’homme – le logiciel malveillant n’est libéré qu’au niveau du terminal – ce qui signifie que la seule façon de les arrêter est de détecter et de bloquer les mouvements des attaquants dans l’environnement même de l’organisation.
Développer un SOC moderne
Pensons tout d’abord aux professionnels de la sécurité. Alors qu’avant la pandémie, l’expérience client faisait fureur, aujourd’hui les organisations placent l’expérience employé en tête de liste des priorités. L’efficacité avérée du travail à distance permet aux cyber-talents de travailler où ils le souhaitent : lors de la conception d’un nouveau SOC, l’entreprise est appelée à imaginer un écosystème qui allège la charge de travail des profils techniques. Sinon, elle risque de perdre les candidats les plus qualifiés au profit d’autres organisations.
La nécessité de retenir les meilleurs talents est une raison supplémentaire de moderniser le SOC et d’adopter une approche tournée vers l’avenir qui privilégie la visibilité et les workflows. Le centre de sécurité moderne continue d’utiliser les journaux et les analyses SIEM, mais les enrichit avec des données sur les terminaux et le réseau. Elle réunit la détection et la réponse aux endpoints (EDR), la détection et la réponse aux menaces sur le réseau (NDR) améliorées par l’intelligence artificielle, et l’analyse comportementale des utilisateurs et des entités (UEBA). Le nouveau SOC 2.0 crée un réseau entre les applications sur site, dans le cloud et natives du cloud, ce qui permet de détecter des activités suspectes et des mouvements d’attaquants jusqu’alors inconnus.
Où commencer à construire le nouveau SOC ? L’intelligence artificielle (IA) peut être un allié précieux. Améliorer la précision des alertes, optimiser les enquêtes, repérer les nouvelles menaces et hiérarchiser les réponses est possible avec la bonne plateforme d’IA. L’intelligence artificielle est incroyablement douée pour traiter rapidement et efficacement de vastes ensembles de données, tandis que l’homme est exceptionnel pour contextualiser les informations.
L’aide de l’IA et du Machine Learning
L’analyste doit donc être équipé de fonctionnalités d’IA et de Machine Learning qui identifient le comportement associé à un risque, tandis que d’autres systèmes d’IA automatisent la plupart des tâches traditionnelles confiées au centre de sécurité. De cette manière, les faux positifs sont considérablement réduits, ce qui élimine le stress lié aux alertes constantes. La modernisation du SOC est l’avenir pour toute organisation qui souhaite développer un centre d’opérations de sécurité efficace et durable. Les enquêtes sur les cybermenaces sont beaucoup plus fructueuses lorsqu’elles s’appuient sur une analyse solide et précise, menée par des systèmes intelligents et vérifiée par des professionnels qualifiés qui analysent une liste de comportements suspects. Ce type de SOC peut également améliorer la gouvernance et inspirer confiance aux régulateurs, aux investisseurs et aux clients. La capacité de détecter, d’évaluer et de hiérarchiser les menaces en temps réel garantit une résolution rapide et efficace des problèmes et évite les violations coûteuses et embarrassantes.
Vectra est un pionnier de la transformation SOC
Vectra AI est partenaire des principaux EDR du marché et fait notamment parti de l’Alliance CrowdXDR, ce qui témoigne de sa position de leader. L’Alliance CrowdXDR est un cercle d’innovateurs en matière de cybersécurité qui se concentre sur l’avenir, et non sur le passé obsolète des SIEM. Vectra AI participe à cet écosystème XDR qui rassemble de puissantes sources de télémétrie des Endpoints pour améliorer la sécurité et qui change la donne. Les partenariats qui collaborent à des intégrations plus efficaces et efficientes sont essentiels pour concrétiser la vision de Vectra AI d’un monde plus sûr et plus juste.
Les résultats de la transformation du SOC : résilience, efficacité et certitude
- La résilience car l’organisation est mieux à même de résister et de repousser les attaques modernes sophistiquées.
- Efficacité : Les responsables de la sécurité sont libérés des outils et technologies hérités qui ne fonctionnent pas ensemble ou qui ne sont pas adaptés à l’environnement actuel, et les défis de conformité de toutes sortes sont plus faciles à relever.
- L’assurance que les attaquants n’ont nulle part où se cacher, que les menaces critiques sont mises au premier plan grâce au contexte et que le machine learning permet au SOC de rester au fait de l’évolution du paysage des menaces.
La transformation des SOC est essentielle à la cybersécurité actuelle et future, et Vectra AI offre les meilleures analyses de sa catégorie, conçues spécifiquement pour soutenir la transition, en détectant les adversaires sur n’importe quelle surface d’attaque et en neutralisant leurs attaques.
A propos de Vectra AI
Vectra® est un leader dans la détection et la réponse aux menaces pour les entreprises hybrides et multi-clouds. La plateforme Vectra utilise l’IA pour détecter rapidement les menaces sur le cloud public, les identités, les applications SaaS et les Data centers. Seule Vectra optimise l’IA pour détecter lesméthodes des attaquants – les TTP au cœur de toutes les attaques – plutôt que d’alerter de manière simpliste sur les ” différents “. Le signal de menace haute-fidélité et le contexte clair qui en résultent permettent aux équipes de sécurité de répondre plus rapidement aux menaces et d’arrêter plus vite les attaques en cours. Des organisations du monde entier font confiance à Vectra pour assurer leur résilience en matière de cybersécurité face aux dangereuses cybermenaces et pour empêcher les ransomwares, la compromission de la chaîne d’approvisionnement, les prises d’identité et autres cyberattaques d’avoir un impact sur leurs activités.
