Les bonnes décisions à prendre lorsque nous sommes sur le terrain de la sécurité informatique
Les organisations, qu’elles soient publiques ou privées sont aujourd’hui dans un schéma qui les obligent la prise en compte de plusieurs données de sécurité provenant un peu partout, surtout de plateformes disparates.
Ce qui étend généralement les champs des menaces, et rend la gestion des systèmes informatiques au niveau de la cybersécurité plus compliquée. « Les entreprises font face à de plus en plus de données de sécurité en provenance de leurs systèmes, des plateformes et applications disparates sur l’état du réseau, les menaces potentielles et les comportements suspects. Au contraire, les centres d’opérations de sécurité (SOC) et les équipes de réponse aux incidents doivent chercher à atténuer l’impact d’une telle profusion d’informations pour accélérer la prise de décision pour une meilleure gestion des opérations de sécurité, des vulnérabilités et de la réponse aux incidents. ». Notait Yann Le Borgne, Directeur technique Europe chez ThreatQuotient
En effet, il a été observé que beaucoup d’entreprises en pendant à investir dans des outils analytiques détection comportementale, c’est qui généralement accroit le taux de renseignement. Tout cela n’est pas de nature à aider le processus décisionnel. C’est pour cette raison qu’il a recommandée généralement de suivre 4 étapes importantes, pour la prise de meilleures décisions, en un temps record en matière de cybersécurité
Étape 1 : rentrer prioritaire les alertes de sécurité au niveau de la hiérarchie des besoins
Ce qui peut véritablement aider les analystes, c’est de pouvoir séparer tout ce qui est probable de ce qui est possible. De la sorte il leur sera facile déterminer avec précision les alertes qui doivent être autrement prioritaire des autres.
Cette phase d’hiérarchisation est très importante. Cela est précisé dans le guide fourni par le National Institute of Standards and Technology (NIST), sur là de gestion des incidents de cybersécurité, intitulé « Computer Security Incident Handling Guide. ». Entre les lignes de ce guide on peut lire : « la hiérarchisation est peut-être la décision la plus critique en matière de gestion des incidents ». En d’autres termes, elle ne s’applique pas simplement qu’aux réponses aux incidents. Les alertes critiquent sont aussi concernée. De la sorte, il est possible pour les analystes d’avoir suffisamment de marge de manœuvre pour se concentrer sur la détection plus efficace des incidents et des alertes.
Étape 2 : s’informer régulièrement par rapport au contexte
« Le tri des alertes réduit le phénomène de désensibilisation en permettant de repérer rapidement celles qui sont les plus prioritaires. La meilleure façon d’y parvenir est d’intégrer des informations contextuelles. Le fait de disposer du bon contexte aide les analystes à séparer les alertes présentant un risque immédiat de celles comportant un risque élevé, mais qui peuvent être traitées ultérieurement. ». Explique Yann Le Borgne.
Pour obtenir de manière efficiente de bonnes informations contextuelles, il faudrait tout d’abord commencer par l’authentification des indicateurs de sécurité interne. On parle ici des indicateurs de compromission et toutes les informations sur les renseignements. Par la suite, penser à agréger tout cet ensemble avec des sources externes de renseignements sur le menace. « Malheureusement, la plupart des entreprises n’intègrent ces renseignements qu’après avoir classé un événement comme suspect. Cette stratégie est contre-productive dans la mesure où les renseignements sur les menaces fournissent un contexte utile bien avant qu’un événement ne soit jugé suspect. » ajoute l’expert.
Il faut savoir que recueillir des informations contextuelles peut-être très utile pour les équipes de réponse différents incidents, surtout au niveau de la distinction des alertes possibles et probables. Le premier point essentiel est de croire que tout est possible. Donc traiter les alertes sur le même pied d’égalité. « Par exemple, une alerte d’activité sortante anormale émanant du serveur de développement d’une banque suggérera un risque possible nécessitant des investigations plus poussées, qu’il s’agisse d’un événement malveillant ou bénin. En revanche, l’intégration de renseignements sur les menaces pourra indiquer que les adresses IP renvoient à des sites de commande et de contrôle (C&C) visant explicitement les entreprises de services financiers, d’où un risque probable exigeant un blocage et une réponse aux incidents immédiats. » illustre Yann Le Borgne.
Étape 3 : rendre meilleur le processus décisionnel
La capacité de spécialiste à pouvoir distinguer en un temps record des événements pouvant être jugés prioritaire par rapport à d’autres est un atout indéniable. Cela facilite la prise de décision et généralement c’est une décision sont meilleures. C’est à partir de cet instant que l’on parle du fameux principe d’orchestration d’équipe. Le fait de s’assurer que chaque membre d’une équipe partage la même analyse d’une situation donnée que ses équipiers. Yann Le Borgne écrivait justement à cet effet : « La coordination d’équipe constitue un défi majeur pour les responsables de la sécurité et de la gestion des risques. ».
Étape 4 : Se fonder sur le renseignement situationnel pour rendre plus efficace la prise de décision
Il faut faire une distinction importante entre le fait d’être sur la même longueur d’onde, et celui de disposer d’informations nécessaires pour accomplir sa tâche. Le travail en équipe ne signifie pas que tous les membres de cette équipe ont les mêmes besoins en renseignements et les mêmes problèmes à régler. Même s’ils sont liés il faut trouver toujours un moyen d’adapter la circulation des informations en tenant compte des véritables aux besoins de chacun.
Il y a une différence entre faire en sorte que tout le monde soit sur la même longueur d’onde et s’assurer que chacun dispose des informations dont il a besoin pour accomplir sa mission. Même si ces deux membres d’équipes travaillent sur le même problème, leurs besoins en matière de renseignements sont différents, bien que liés. « Ces renseignements différents, mais connexes, sont appelés « renseignement situationnel », l’enjeu étant de fournir les bonnes informations à la bonne personne au bon moment. » décrit Yann Le Borgne.
Accédez maintenant à un nombre illimité de mot de passe :