Réduire les risques cyber grâce à un signal clair et intégré

En 2024, les cyberattaques se concentrent sur les environnements hybrides. Une approche de sécurité plus intelligente et intégrée est essentielle pour améliorer la détection et la réponse aux menaces.

En 2024, les cyberattaques se concentrent de plus en plus sur les environnements hybrides, ciblant les entreprises qui ont une partie de leur infrastructure dans le cloud tout en gardant une partie on-premises (cette dualité générant plus de la complexité pour les équipes sécurité et davantage d’opportunités pour les attaquants).

On observe également une augmentation des attaques dirigées contre les identités, qui utilisent l'ingénierie sociale et les vulnérabilités de type « zero-day » pour initier des mouvements latéraux au sein du réseau de l'entreprise. Les méthodes actuelles de détection et de réponse aux attaques hybrides sont défaillantes, mais contrairement à la tendance actuelle, l'ajout d'outils supplémentaires remontant encore plus d'alertes n'est pas la solution. Ce qu'il faut, c'est une nouvelle approche de la sécurité, qui permette de réagir rapidement et efficacement aux menaces.

Trop d'alertes de sécurité

Les analystes des centres des opérations de sécurité (SOC) mesurent l'efficacité d'un outil en fonction de sa capacité à identifier un événement menaçant et à déclencher une alerte. Or, on estime que les équipes SOC sont inondées de près de 4 500 alertes par jour. Aucune entreprise n'a aujourd'hui le temps ni les ressources nécessaires pour traiter un tel volume. Ce n'est pas une coïncidence si le rapport State of Threat Detection de Vectra révèle que 97 % des analystes craignent de manquer un événement de sécurité majeur et que 67 % des analystes SOC envisagent de quitter le secteur. Cela explique la pénurie mondiale persistante de 3,4 millions de travailleurs hautement qualifiés dans le domaine de la sécurité. Des chiffres qui peuvent être attribués à une charge de travail quotidienne de plus en plus élevée, source de stress et de frustration. C'est aussi le signe d'une crise de confiance des analystes dans l'ensemble du paradigme de la cybersécurité. Plus d'outils ne garantissent pas une meilleure protection ; au contraire, ils impliquent plus de règles, une plus grande complexité et des coûts plus élevés. Si nous ne redéfinissons pas la manière dont nous mesurons l'efficacité des outils de sécurité, l'environnement informatique continuera à se détériorer à mesure que le nombre d'alertes augmentera et que les analystes démissionneront en masse.

Une approche plus intelligente est nécessaire

Les équipes SOC peuvent améliorer la situation en évitant les outils qui entravent l'analyse et augmentent la charge de travail, et en choisissant plutôt des solutions qui augmentent la visibilité des menaces, la précision de la détection et l'efficacité des analystes. La première étape consiste à changer la façon dont les entreprises mesurent l'efficacité de leurs équipes. Actuellement, la plupart d'entre elles mesurent la maturité de leur SOC en fonction de facteurs tels que la réduction des temps d'arrêt (65 %), les délais de détection, d'investigation et de réponse (61 %), les brèches évitées (61 %) et le nombre de tickets traités (60 %). Mais ces indicateurs ne sont pas utiles si les attaques non détectées restent la norme.

Identifier les menaces et établir des priorités

Nous avons besoin de systèmes capables d'identifier rapidement les menaces et de les classer par ordre de priorité au moyen d'un signal intégré et clair. Plus le signal d'attaque est efficace, plus le SOC devient cyber-résilient et plus l'organisation peut être défendue. La deuxième étape consiste à se concentrer sur ce qui peut être contrôlé et non sur ce qui ne peut pas l'être. Par exemple, il n'est pas possible de contrôler la surface d'attaque de l'organisation : celle-ci continuera de croître et de changer avec les investissements numériques. Il n'est pas non plus possible de contrôler quand, où et comment les attaquants tenteront de percer les défenses de l'entreprise. 

Un signal clair et intégré est nécessaire

Ce qui peut être contrôlé, c'est la clarté du signal. À mesure que les entreprises adoptent le cloud hybride, les cybercriminels deviennent de plus en plus évasifs et recourent à de nouvelles méthodes d'attaque. Pour les contrer, les organisations ont besoin d'un signal intégré en temps réel sur toutes les surfaces d'attaque hybrides, capable de détecter, d'enquêter et de répondre aux attaques rapidement et à grande échelle. L'utilisation croissante de solutions de détection et de réponse étendues (XDR) est simplement l'aveu du marché que l'EDR - détection et réponse aux menaces sur les terminaux et serveurs - n'est plus suffisant. Les organisations ont besoin de systèmes de sécurité qui fournissent un signal clair sur toute la surface de l'entreprise, y compris le cloud, l'identité, le SaaS et le réseau.

La valeur d'une stratégie XDR réside dans sa capacité à intégrer les signaux pour accélérer la détection des menaces, l'investigation et la réponse. Un changement d'état d'esprit s'impose en matière de sécurité : le recours à l'aide précieuse de l'intelligence artificielle permet d'accélérer l'analyse d'une énorme quantité d'informations et de détecter les activités suspectes en quelques minutes, même dans les environnements hybrides et distribués.