La grande démission – ou le grand remaniement comme certains l’appellent – et le déficit croissant de compétences ont dominé les gros titres ces derniers temps. Mais ces problèmes ne sont pas nouveaux pour l’industrie de la cybersécurité. Alors que beaucoup n’entendent parler que maintenant de l’épuisement professionnel des employés, les équipes de sécurité sont confrontées à la réalité et aux graves conséquences de l’épuisement professionnel depuis des années.
L’un des plus grands coupables ? Surcharge d’alerte.
L’équipe de sécurité moyenne reçoit des dizaines de milliers d’alertes chaque jour. Beaucoup d’analystes ont l’impression de ne pas pouvoir sortir la tête de l’eau… et commencent à baisser les bras. Cela ressemble à un épuisement physique et même à de l’apathie. Des enquêtes ont révélé que certains analystes de la sécurité se sentent tellement dépassés qu’ils ignorent les alertes et s’éloignent même de leurs ordinateurs.
En fait, ces enquêtes ont révélé que 70% des équipes de sécurité se sentent émotionnellement submergés par les alertes, et plus que 55% des professionnels de la sécurité ne se sentent pas entièrement convaincus qu’ils peuvent prioriser et répondre à chaque alerte qui nécessite vraiment une attention.
Malheureusement, il n’y a pas un seul instant à perdre lorsqu’il y a une menace légitime. Le paysage des menaces évolue si rapidement que vous avez besoin d’une équipe de sécurité non seulement au top de sa forme, mais aussi prévoyante pour anticiper les menaces émergentes. Ainsi, la question de la surcharge d’alertes est l’un des principaux ingrédients d’une recette pour un désastre en matière de risque commercial. Et les risques ne font qu’augmenter (pensez aux chaînes d’approvisionnement et aux attaques de ransomwares sur des secteurs critiques comme la santé).
Il va sans dire que si cela se prolonge, ce n’est qu’une question de temps avant qu’une menace légitime ne soit détectée et n’entraîne des conséquences dévastatrices pour une organisation et même pour les particuliers qui confient leurs données à cette organisation.
Mais selon le fournisseur XDR, Cynet, « … le problème ne concerne pas les alertes, mais la réponse ».
Les équipes de sécurité se trouvent à un moment critique et doivent trouver un moyen d’atténuer la surcharge d’alertes et d’adopter une stratégie de réponse. Heureusement, il existe un guide pour cela.
Le guide récemment publié par Cynet propose plusieurs façons pour les responsables de la sécurité de sortir leurs analystes de l’océan de faux positifs et de les ramener à terre. Il comprend des conseils sur la façon de réduire les alertes à l’aide de l’automatisation et partage des conseils pour les organisations qui envisagent d’externaliser leur détection et réponse gérées (MDR). Spoiler : le guide explique également comment les équipes de sécurité peuvent démêler le réseau d’outils de sécurité nécessaires à l’automatisation.
En plus de fournir un contexte expliquant pourquoi les alertes aggravent la cybersécurité et comment ces alertes deviennent accablantes, le guide partage des informations sur :
- La question de l’externalisation – L’externalisation de la détection et de la réponse gérées (MDR) est une excellente option si vous avez besoin d’évoluer rapidement et que vous ne disposez pas des ressources nécessaires. Les MDR peuvent aider à réduire le stress et redonner du temps à votre équipe. Une autre considération est le coût. Vous devrez également investir du temps dans la recherche d’un MDR adapté à votre entreprise. L’externalisation peut ou non être la bonne solution pour vos besoins uniques.
- Comment réduire les alertes – Cela commence par la stratégie. Examinez votre technologie existante et assurez-vous que vous avez optimisé leurs paramètres et que vos outils sont calibrés. En fin de compte, il ne s’agit pas tant de réduire les alertes que de la façon dont vous avez configuré votre équipe pour répondre.
- Présentation de la réponse automatisée – Même les équipes de sécurité les plus légères peuvent lutter contre les menaces si elles utilisent l’automatisation. L’automatisation permet aux équipes de sécurité de répondre rapidement aux alertes à grande échelle. Mais l’un des plus grands défis de l’automatisation est de savoir comment la configurer correctement en premier lieu.
- Des outils qui facilitent l’automatisation – L’une des raisons pour lesquelles la mise en place d’automatisations est un défi est due à l’abondance d’outils technologiques qui doivent être intégrés (comme EDR, NDR, IPS, pare-feu, antispam, filtrage DNS, etc.). La clé est de savoir comment mettre tous ces outils en un seul endroit.
- La protection autonome contre les violations simplifiée – Encore une fois, tout se résume à l’intégration. Mais avoir ces outils en un seul endroit présente des avantages significatifs : c’est facile et ne nécessite pas beaucoup d’expertise technique, la solution tout-en-un est plus rentable, et elle permet une détection plus rapide et une réponse plus éclairée.
L’avenir est loin d’être sombre. Cynet nous informe que « Plus qu’une simple solution pour alerter la surcharge, les outils intégrés et la réponse automatisée sont l’avenir de la cybersécurité – un avenir où les défenseurs reprennent l’avantage. »
Si vous souhaitez en savoir plus et savoir comment arrêter la surcharge d’alertes, télécharger le guide ici.