La menace persistante des cyberattaques continue de poser des défis majeurs aux entreprises. De nombreuses personnes font désormais appel à des prestataires externes en matière de SecOps. Mais même dans ce cas, la sécurité informatique n’est pas une réussite garantie : elle nécessite certaines conditions préalables. Ontinue, expert Managed Extended Detection and Response (MXDR), définit cinq principes fondamentaux essentiels au succès de SecOps.
Les experts en sécurité informatique résument toutes les activités opérationnelles dans leur domaine d’expertise sous le terme SecOps – c’est-à-dire les opérations de sécurité. Le portefeuille de tâches étant très large, les entreprises ont besoin d'un Security Operations Center (SOC) pour protéger de manière globale leur infrastructure informatique - un seul employé qui gère les alertes des outils EDR (Endpoint Detection and Response) et SIEM (Security Information and Event Management). ne sont en aucun cas suffisants.
Principes fondamentaux pour un SecOps efficace et efficient
Étant donné que très peu d’entreprises disposent des ressources financières nécessaires pour créer un SOC et que le manque de travailleurs qualifiés les empêche même dans des conditions parfaites, beaucoup ont recours à l’externalisation. Mais la coopération avec un prestataire de services doit également être extrêmement efficace, compte tenu de l'augmentation des cyberattaques et d'une situation de menace en constante évolution. Ontinue énumère les cinq principes fondamentaux pour un SecOps réussi, efficace et efficient.
Automatisation: L'automatisation est un aspect clé pour les équipes SecOps afin d'éviter de se perdre dans le flot d'alertes. Les experts en sécurité doivent donc utiliser les outils SOAR (Security Orchestration, Automation and Response) pour définir des actions de réponse significatives, c'est-à-dire des réactions automatisées aux incidents récurrents. Par exemple, en cas d'alerte indiquant une attaque de ransomware, le logiciel pourrait isoler automatiquement l'hôte concerné.
Collaboration: Une collaboration transparente entre les entreprises et le SOC externe d'un fournisseur MXDR est la clé d'une protection efficace. Même à l’heure des outils de collaboration sophistiqués, nombreux sont ceux qui utilisent encore des systèmes de tickets encombrants et lents. Cependant, il est plus judicieux d’utiliser des plateformes telles que Microsoft Teams ou Slack, qui permettent une communication plus directe et informelle entre toutes les personnes impliquées. Cela permet de raccourcir le temps moyen de réponse (MTTR).
Localisation: Afin de garantir le plus haut niveau de sécurité, les prestataires de services externes tels que les fournisseurs MXDR doivent avoir une compréhension approfondie de l'infrastructure informatique des entreprises pour lesquelles ils travaillent. Pour ce faire, vous devez d'une part bien connaître les clients, les points finaux et les serveurs, mais d'autre part, vous devez également avoir une vue d'ensemble des propriétés individuelles et des droits d'accès basés sur les rôles. Il est également important qu'ils sachent exactement quelles sont les applications métier existantes et lesquelles d'entre elles sont essentielles à l'entreprise et aux opérations quotidiennes. Certains fournisseurs MXDR, avec l'autorisation de l'entreprise, mettent en œuvre des robots IA qui surveillent automatiquement l'infrastructure informatique et alertent les SOC externes lorsque du matériel ou des logiciels inconnus apparaissent.
Spécialisation: Lorsqu’il s’agit d’architectures de sécurité, moins c’est mieux. De nombreux prestataires de services s’appuient sur un portefeuille de produits de sécurité trop vaste. L’inconvénient : vos experts doivent gérer différentes technologies. Il est donc plus logique de se concentrer sur l'écosystème holistique d'un fabricant, d'intégrer facilement et complètement les opérations de sécurité et ainsi de fournir la plus haute qualité dans ce domaine. Les experts informatiques internes trouvent également plus facile de collaborer avec des collègues externes si la gamme de produits utilisée est aussi uniforme que possible.
prévention: La meilleure alerte est celle qui ne se produit même pas. Les entreprises et les prestataires de services doivent travailler ensemble pour répondre aux menaces non seulement de manière réactive, mais aussi proactive. En clair, cela signifie que les deux parties travaillent avec clairvoyance. Du côté de l'entreprise, cela signifie informer en temps utile le partenaire de sécurité des modifications apportées à l'infrastructure informatique, voire l'impliquer dans l'évaluation de nouveaux matériels ou logiciels. Du côté des prestataires de services, cela signifie, entre autres, investir beaucoup de temps dans ce que l'on appelle l'intelligence des menaces, c'est-à-dire dans la détection d'éventuelles failles de sécurité et menaces futures.
« Mettre en pratique des SecOps efficaces n'est pas une tâche facile, ni pour les fournisseurs MXDR ni pour les entreprises », souligne Jochen Koehler, vice-président des ventes EMEA chez Ontinue. « Il est donc important que toutes les parties prenantes se rassemblent et que la collaboration se déroule sans heurts. Cela ne fonctionne que si les deux parties travaillent sur une communication transparente et font tout individuellement dans leurs domaines de responsabilité respectifs pour prendre les plus hautes précautions de sécurité. C’est la seule façon de rendre la vie vraiment difficile aux pirates informatiques.
Plus à Ontinue.com
Sur Ontinue
Ontinue, l'expert Managed Extended Detection and Response (MXDR) basé sur l'IA, est un partenaire de sécurité XNUMXh/XNUMX et XNUMXj/XNUMX dont le siège est à Zurich. Afin de protéger en permanence les environnements informatiques de ses clients, d'évaluer leur état de sécurité et de les améliorer continuellement, combinés Ontinue Automatisation basée sur l'IA et expertise humaine avec le portefeuille de produits de sécurité Microsoft. La plateforme Nonstop SecOps intelligente et basée sur le cloud suffit Ontinues Protection contre les cyberattaques bien au-delà des services de détection et de réponse de base.