Supply Chain : comment éliminer les faux positifs et la sécuriser grâce à l’automatisation

Cybersécurité
ANSSI métiers cybersécurité

Si les équipes de sécurité passent un temps critique à examiner la liste interminable d’alertes, il est compréhensible qu’une menace réelle puisse passer à travers les mailles du filet.

Les cybermenaces ne cessent de se multiplier et de se perfectionner, compliquant ainsi le travail des équipes de sécurité, déjà submergées. Les ressources sont mises à rude épreuve, les solutions de sécurité se doivent d’être plus complexes, la hiérarchisation et la réponse aux menaces légitimes sont en crise croissante.

Les environnements informatiques nécessitent une gamme d’outils de sécurité pour assurer une couverture adéquate. Chaque solution pointe des centaines de risques de sécurité potentiels prenant la forme d’une alerte envoyée aux équipes de sécurité SOC pour analyse.

Ce traitement des alertes entrantes représente une part importante de la charge de travail de l’équipe de sécurité et il s’avère que nombre de ces alertes sont en fait des faux positifs. En effet, plus de 25 % des alertes de cybersécurité seraient en réalité des faux positifs et ne présenteraient aucun risque pour l’entreprise ou les environnements.

Malheureusement, le nombre de faux positifs reçus détourne l’attention des risques réels. Les équipes de sécurité passent donc plus de temps à réagir à des menaces supposées alors qu’elles devraient consacrer ce temps à être proactives et à protéger les environnements critiques.
Si l’on considère la supply chain d’une entreprise, il peut y avoir des milliers de points faibles qui déclenchent des alertes faussement positives, en particulier lorsque de plus en plus d’entreprises effectuent une migration massive vers le cloud.

Problèmes causés par les faux positifs

69%* des professionnels de l’informatique s’accordent à dire que la baisse de moral du personnel résulte du volume écrasant de faux positifs identifiés. Une situation désormais acceptée par les organisations.

Les équipes de sécurité peuvent recevoir plus de 75 000 alertes en une journée en provenance des solutions de sécurité de la chaîne d’approvisionnement. Ce nombre impressionnant tend à entraîner une lassitude à l’égard des alertes : les équipes de sécurité doivent passer en revue un si grand nombre d’alertes qu’elles commencent à manquer certaines alertes critiques ou, pire encore, à les ignorer tout simplement.

Distraites par les faux positifs, les équipes peuvent facilement passer à côté d’une tentative d’hameçonnage, d’une attaque potentielle de ransomware ou d’autres indicateurs montrant que les menaces s’infiltrent dans le système de l’entreprise sans être remarquées. Lorsque l’équipe prend conscience de la vulnérabilité, il est déjà trop tard. Plus de la moitié des professionnels de l’informatique (62%)*reconnaissent que des menaces au sein de leur entreprise pourraient passer inaperçues en raison de la quantité de faux positifs.

L’impact d’une seule menace manquée peut être catastrophique, comme le montrent de récentes attaques comme Colonial Pipeline. Un compte VPN obsolète dans la chaîne d’approvisionnement qui a échappé au radar a conduit à l’une des pires cyberattaques de l’année.

Si les équipes de sécurité passent un temps critique à examiner la liste interminable d’alertes, il est compréhensible qu’une menace réelle puisse passer à travers les mailles du filet. Donnez à un cybercriminel la moindre ouverture, il la saisira et les organisations en paieront le prix.

Quelle est la prochaine étape ?

Il est très facile pour une équipe, en période de stress et d’urgence, de se rejeter la faute, si les attaquants franchissent les périmètres. Qu’il s’agisse d’outils insuffisants, de vulnérabilités non corrigées ou d’un personnel surchargé ou peu formé, les organisations ne peuvent pas se permettre d’être complaisantes lorsqu’il s’agit de renforcer leur dispositif de sécurité global.

La première mesure généralement prise par les entreprises consiste à trouver la solution ou la technologie la plus brillante pour relever les défis actuels. Cependant, les événements passés ont prouvé que cela était bien plus facile à dire qu’à faire. Il y a eu un certain nombre d’exemples, y compris la controverse sur la fraude de Cylance, où des entreprises ont promis d’atteindre certains résultats, mais ont échoué. Il est compréhensible que ces faux pas aient entamé la confiance du marché, et celle-ci doit être rétablie.

Les entreprises qui franchissent l’étape suivante pour sécuriser leur chaîne d’approvisionnement compteront sur leurs fournisseurs pour leur communiquer les informations nécessaires sur la meilleure façon d’y parvenir. Une tendance croissante est le passage à l’automatisation.

Selon des professionnels de l’informatique (86%)*, les outils issus de la data science, tels que l’intelligence artificielle (IA), le Machine Learning (ML) et le Deep Learning (DL), auront tous un impact significatif sur la prévention des menaces inconnues et la réduction des faux positifs.

Le rôle de l’automatisation

Les solutions automatisées sont capables d’analyser les alertes pour déterminer leur niveau de menace avant même qu’elles n’arrivent dans la boîte de réception de l’équipe de sécurité. Bien que certaines menaces puissent être de faible niveau, elles peuvent souvent être résolues sans nécessiter d’interaction humaine.

Les équipes de sécurité fonctionnent actuellement à flux tendu, en étant constamment réactives et en chassant les menaces plutôt qu’en étant proactives et en ayant une longueur d’avance. La technologie automatisée est naturellement plus efficace en termes de ressources, ce qui signifie que les organisations peuvent dire adieu aux heures perdues à passer au crible les alertes pour différencier les vraies menaces des fausses.

Le Machine Learning est utilisé par les entreprises depuis des années dans le cadre du processus d’automatisation, alimentant la technologie en données lorsque de nouvelles attaques apparaissent. Cependant, les attaques ont depuis trouvé le moyen de manipuler le Machine Learning et de contourner ainsi les défenses.

Le Deep Learning, en tant que sous- ensemble avancé du ML, ne nécessite aucune interaction humaine et est conçu pour fonctionner par apprentissage autonome à partir de grandes quantités de données brutes, imitant les réseaux neurologiques comme le cerveau humain. Le système apprend lui-même à différencier le code malveillant du code bénin. Il n’utilise pas de données préclassées comme le ML.

Ce fonctionnement autonome permet aux équipes de sécurité de se concentrer sur d’autres domaines critiques de la sécurité au sein de la chaîne d’approvisionnement, laissant la solution DL prédire les menaces inconnues et protéger l’organisation.

Aujourd’hui, la plupart des entreprises sont encore dans une approche réactive de la cybersécurité, mais il est temps d’être plus proactif. Les équipes de sécurité ne sont pas censées courir après des milliers d’alertes – leurs priorités et leur temps devraient être consacrés à fortifier l’infrastructure critique de l’organisation. La mise en œuvre de solutions automatisées permettra aux équipes de gagner du temps qu’elles doivent impérativement consacrer au renforcement de l’ensemble de leur Supply Chain.

Les méthodes et les activités des cybercriminels gagnant rapidement en sophistication et en compétences, les pratiques de sécurité des organisations doivent s’adapter à l’évolution du paysage des menaces.

* D’après le rapport Voice of SecOps publié par Deep Instinct en juin 2021


Auteur
En savoir plus 
Chargé du développement technique de l’Europe du Sud
Deep Instinct
Guillaume Maguet est en charge du développement technique de l’Europe du Sud chez Deep Instinct
En savoir plus 

Livres blancs A la Une