Bien que j’aie cité dans mon premier article quelques raisons nécessitant de plus en plus d’introduire la notion d’automatisation des processus pour les activités cybersécurité. Ce sujet nécessite quand même qu’on y consacre un peu plus de matière afin de comprendre les tenants et les aboutissants de cette démarche.

L’automatisation en cybersécurité : pourquoi ?

De plus en plus rapide, la demande d’innovation pousse les organisations vers des architectures agiles, natives du cloud, construites sur des micro-services, des clouds, des conteneurs et Kubernetes. La nature dynamique de ces environnements basés rend le développement, l’intégration et le déploiement des applications plus fluide et plus rapide. Toutefois, ce dynamisme apporté aux environnements IT a laissé des angles morts en matière de cybersécurité.

De par ma modeste expérience dans le domaine, j’ai relevé des constats permettant d’identifier quelques-uns de ces angles morts :

• Les processus : la filière cybersécurité n’a pas été intégrée comme une composante clé dans la réflexion autour des démarches Agiles. De ce fait, elle a dû, tant bien que mal, revoir sa copie en matière de gouvernance pour accompagner la transformation des DSI en DSI-Agile. En plus, il lui a fallu revoir ces activités de sécurité opérationnelle pour suivre le rythme fou des activités nécessaires à la protection des actifs des entreprises.
• Les hommes : beaucoup de professionnels du secteur n’ont pas vu venir le déluge que représente la démarche CI/CD, la conteneurisation et les architectures micro-services et multi-cloud. Comme tout changement, il fallait une période de deuil pour digérer et se rendre compte de l’impact en matière de compétences et de charge de travail nécessaires pour intégrer ces nouveaux paradigmes.
• Les outils : ceux qui ont été conçus pour une époque où les environnements informatiques étaient statiques s’avèrent incapables de fournir le même niveau de surveillance et de protection qu’ils offraient autrefois. Les cycles de contractualisation avec certains éditeurs n’ont fait que retarder l’adoption des nouveaux outils, et la justification d’un tel investissement débouchait sur une oreille sourde.

Terminée l’époque de la seule analyse mensuelle permettant aux équipes d’identifier la plupart des vulnérabilités avant qu’elles ne puissent être exploitées ! Dans les environnements dynamiques, les durées de vie se mesurent en jours, voire en heures. Ceci permet de raccourcir les cycles de développement et d’intégration, mais augmente la probabilité d’introduire des composants vulnérables, exposant ainsi le SI à des risques de compromission élevés.

L’automatisation en cybersécurité : comment ?

Lors de la dernière décennie (2010-2020), le développement à une vitesse grand V des Security Operations Center au sein de plusieurs entreprises a été présenté comme la solution miracle, que ce soit au niveau organisationnel ou technique, pour répondre au défi cyber-sécuritaire des entreprises.

Malheureusement, mon expérience de terrain a démontré que ce modèle qui consistait à empiler de nouvelles couches de technologies et à embaucher des analystes ne permet pas d’atteindre les objectifs et les résultats escomptés. Je suis conscient du fait que ce propos n’arrangerait pas mes relations avec les leaders du secteur, mais je sais aussi que je peux compter sur leur honnêteté intellectuelle pour faire le constat par eux mêmes de l’état de dépassement des équipes SOC qui croulent sous les vagues d’alertes.

Cela dit, l’automatisation peut être une solution parmi d’autres pour gagner, en rapidité et en efficacité, dans la détection et la réponse aux incidents, mais aussi fluidifier les processus de sécurité opérationnelle. Elle permet ainsi de faire face à l’état de menace continue qui pèse comme une épée de Damoclès sur la tête des responsables et des équipes de cybersécurité.

Pour ce faire, il faut s’orienter vers des solutions innovantes permettant à la fois d’adresser les risques de l’activité en priorité et assurer l’automatisation des opérations cybersécurité. Mon idée ici, n’étant pas de faire l’éloge d’une quelconque technologie et tenant à mon indépendance totale vis-à-vis des éditeurs de solutions, je me limiterai à une liste d’innovations qui permettrait d’adresser ce sujet comme suit :

• RPA (Robotic Process Automation) : la robotisation des processus peut s’avérer d’une grande utilité pour automatiser certains « use cases » en cybersécurité : gestion des habilitations, gestion des correctifs, gestion des vulnérabilités, administration des équipements sécurité, etc.
• L’intelligence Artificielle (IA) : des solutions de machine learning renforcent, améliorent et souvent remplacent les activités humaines de contrôle et surveillance sur trois domaines principaux : la détection des attaques, l’analyse des comportements et l’évaluation des risques.
• XDR (Détection & Réponse Étendues) : collecte et met automatiquement en corrélation des données sur plusieurs couches de sécurité : courriel, poste de travail, serveur, charge de travail sur le Cloud et réseau. Cela permet une détection plus rapide des menaces, ainsi qu’une amélioration des temps d’enquête et de réponse lors de l’analyse de sécurité sur des environnement IT dynamiques.
• TDM (Threat Detection Marketplace) : bibliothèque en ligne comptant des milliers de requêtes et règles SIEM et EDR, entre autres, conçues pour fonctionner directement sur vos plateforme SIEM. La TDM comprend des tableaux de bord conformes SOC, des packages de règles, des recettes de machine learning pour les piles élastiques, ainsi que des mises à jour quotidiennes et rationalisées des règles Sigma via une API.
• DRPS (Digital Risks Protection Services) : la protection contre les risques numériques est apparue comme une nouvelle capacité essentielle pour les équipes de sécurité. Elle protège les biens et les données numériques critiques contre les menaces extérieures : compromission de comptes utilisateurs, fuite de données, fraude, etc.
•  APT (Autonomous Penetration Testing) : évaluation permanente de la posture de sécurité de vos entreprises, notamment les surfaces d’attaque externes, d’identité sur site, IoT et cloud.
• Etc.

Cette liste ne se veut pas exhaustive et est à utiliser pour répondre principalement aux cas d’usages prioritaires au sein de votre organisation. Comme vous, je sais qu’au-delà des présentations marketing, la solution miracle n’existe pas (Clin d’œil à tous mes camarades du marketing qui se reconnaîtront). Néanmoins, ces solutions mériteraient qu’on s’y intéresse dans les mois, voire années, à venir puisque la promesse qu’elles détiennent en vaudrait la peine.

Un mot pour la fin !

La pandémie du COVID-19 a poussé les entreprises à avoir un recours massif aux outils numériques et à revoir leurs modes de travail. Ceci explique la prise de conscience du top management de l’importance que représente la menace cyber sur leurs activités.

Par ailleurs, le passage au télétravail et l’appel massif au logiciel cloud ont remis en question, voire ont accéléré, l’obsolescence du concept de périmètre de sécurité. Ceci a permis l’adoption d’une nouvelle approche Zero-Trust qui constitue un nouvel horizon pour justifier les investissements dans de nouveaux outils. De plus, ces 24 derniers mois ont vu une recrudescence du nombre de cyberattaques, avec des cas d’école, ayant fait l’actualité (Solarwinds, Exhange, Colonial pipeline, Ransomware ciblant les hopitaux, etc.) faisant ainsi perdre le sommeil aux décisionnaires SSI et aux équipes de sécurité opérationnelle et SOC à travers le monde.

Tout ceci pour dire qu’entre supprimer les causes et mitiger les conséquences, l’automatisation s’avère être un bon allié pour faciliter la vie des organisations et plus particulièrement des équipes cybersécurité. Pour les années à venir, un seul conseil : consommer le SecBot sans modération et surtout veillez à l’utiliser à bon escient !

Ayoub FIGUIGUI
Président fondateur du cabinet Secu9 Pure Player du conseil en cybersécurité depuis 2016. Consultant et professeur en cybersécurité.