Le dilemme de l’automatisation
Candace Worley, Vice-Présidente et stratégiste technique en chef chez McAfee, travaille dans l’industrie de la sécurité depuis 19 ans et demi. Ses discussions avec des milliers d’entreprises à propos de leurs programmes de sécurité et de la manière dont ils font face aux problèmes liés à la cybersécurité l’ont conduite à réaliser que, si certains changements se sont produits, beaucoup de choses n’ont pas changé.
L’environnement de travail et les technologies disponibles pour répondre aux problèmes de sécurité ont évolué. Cependant, les entreprises luttent toujours pour maximiser l’efficacité de leurs outils et des équipes de cybersécurité.
La solution de l’automatisation est le plus souvent cantonnée à des tâches correctives, comme tester leurs fichiers de signature numérique, ou un patch avant son déploiement. Elle est cependant moins usitée par les professionnels de la cybersécurité pour les tâches plus complexes.
Il existe deux raisons principales à ce scepticisme :
- Les entreprises craignent que l’automatisation de ces tâches complexes augmente le risque que quelque chose se passe mal, ce qui pourrait compromettre la sécurité de l’organisation.
- La crédibilité de l’équipe de sécurité pourrait en pâtir. Il n’est pas toujours simple pour les acteurs de cette équipe (opérateurs réseau, équipe IT) d’effectuer les changements nécessaires à l’application des exigences en matière de sécurité, même lorsque tout se déroule pour le mieux.
Des variables sont intervenues dans cet écosystème ces quelques dernières années grâce auxquelles les professionnels de la cybersécurité commencent à reconsidérer leurs positions concernant l’adoption de l’automatisation de manière plus large.
Le paysage des menaces : un argument de poids
Les menaces ont grandement évolué dans le monde de l’informatique. Au début des années 2000, elles s’apparentaient plutôt à de l’espièglerie. Les malwares causaient des problèmes, mais la motivation principale des personnes derrière ces attaques était la notoriété.
Aujourd’hui, il s’agit plutôt de tirer profit de ces activités. Les hackers cherchent désormais à obtenir des informations à caractère politique ou des secrets industriels pour des raisons économiques. Il existe ainsi une cybercriminalité organisée qui n’existait pas il y a 15 ou 20 ans. Le monde numérique est bien plus sûr pour les criminels que le monde physique, grâce à un niveau d’anonymat inégalable.
Ce que l’on pourrait appeler « hackivisme » prend également de l’ampleur, émanant de personnes souhaitant exprimer leur opinion quant à la manière dont les entreprises devraient gérer leurs activités vis-à-vis de l’environnement, par exemple. Il s’agit alors d’obtenir des informations qui pourraient porter atteinte à une marque.
Enfin, les employés, partenaires et entrepreneurs indépendants — des personnes qui devraient être de confiance — capturent des informations et les vendent ou les utilisent de manière inappropriée.
Ces activités criminelles sont de plus en plus courantes, et les tests menés par McAfee fournissent des statistiques parlantes quant à la cybercriminalité mondiale. Ses produits permettent d’utiliser les informations associées aux URLs, fichiers, ou autres banques de données pour savoir si une URL est bonne, mauvaise ou incertaine.
MacAfee reçoit 49 milliards de demandes de réputation GTI par jour, soit 569 000 par seconde. Au premier trimestre 2019, la quantité de ransomware avait augmenté de 118 %, avec 66 nouvelles familles. Une entreprise sera touchée toutes les 11 secondes d’ici 2021 (contre toutes les 14 secondes aujourd’hui).
Enfin, étudier la cybercriminalité a permis à MacAfee d’effectuer une évaluation de son impact économique global. D’ici 2020, celui-ci se chiffre à environ 6 000 milliards de dollars, ce qui représente bien plus que le PIB de nombreux pays dans le monde. La cybercriminalité représente quasiment un pays à elle seule, car elle est simplement trop lucrative pour que les cybercriminels cessent leurs activités.
La gestion des données sensibles : un problème de plus en plus complexe
Les entreprises doivent gérer une immense quantité de données. Domo estime que 90 % des données existant dans le monde aujourd’hui ont été générés ces deux dernières années. Cette augmentation exponentielle doit inciter les professionnels de l’informatique à trouver des moyens de gagner de la visibilité vis-à-vis de ces données, de leur appliquer des contrôles de sécurité et de prévoir la stratégie à adopter pour cette évolution exponentielle.
IDC a indiqué que d’ici 2025, 50 % des données dans le monde n’auront aucune protection. Bien sûr, toutes ces données ne sont pas importantes (documents publics, résultats financiers des années précédentes, etc.), mais parmi ces 50 %, une certaine proportion des données sera considérée comme sensible. Il faudra donc identifier clairement ces données, savoir comment le sécuriser lorsqu’elles échappent aux écosystèmes.
Toujours selon IDC, 450 milliards de transactions business-to-business se seront produites d’ici 2020. Ceci est important car les transactions ne sont désormais plus physiques mais numériques, et possèdent un certain anonymat, ce qui leur confère un intérêt du point de vue de la cybersécurité.
Enfin, McAfee a réalisé une étude du cloud cette année et trouvé une augmentation de 53 % des données sensibles stockées sur celui-ci.
Il y a cinq ans, plusieurs sociétés refusaient de passer au cloud pour des données critiques. Deux ans plus tard, MacAfee elle-même a commencé à y transférer quelques workloads. Désormais, certaines organisations décident de passer au « tout cloud » et d’abandonner leurs centres de données privés. Il est évident que ce mouvement prendra de l’ampleur, et protéger ces données sensibles lors de leur déplacement depuis les centres de données sur place vers les centres de données sur le cloud exigera des précautions.
Dans le même temps, les alertes émanant des applications de sécurité cloud sont de plus en plus nombreuses, ce qui augmente les exigences concernant la Réponse aux Incidents. En moyenne, les entreprises possédant une présence matérielle sur le cloud voient 3,2 milliards d’alertes ou d’évènements chaque mois, sur lesquels 3200 anomalies et 31 menaces légitimes sont avérées. Impossible pour l’équipe de Réponse aux Incidents de réagir efficacement.
La complexité environnementale toujours accrue est notre prochain défi. Il y a 15 ans, Windows était le système d’exploitation principal. Mac était réservé aux cadres et Linux concernait les centres de données, de même qu’UNIX.
La plupart des téléphones mobiles étaient des Blackberries et Nokia était très présent en Europe, mais ces appareils n’offraient pas de fonctions très poussées en matière de connectivité (appels téléphoniques, emails, agenda, SMS, etc.). Le réseau lui-même était très sécurisé et le cloud n’existait pas.
Aujourd’hui, Windows, Apple et plusieurs versions d’Android co-existent. Linux est beaucoup mieux représenté à la fois dans les centres de données et sur le cloud et UNIX est toujours présent. Le cloud supporte des postes de travail virtuels, des workloads et des instances qui ne sont pas directement contrôlés mais reposent sur les infrastructures de tierces personnes. Le réseau est désormais poreux et peu sécurisé. Les téléphones portables sont désormais aussi puissants que certains ordinateurs datant d’il y a tout juste quelques années.
Concernant les mobiles, Cisco a réalisé des recherches sur leur présence au sein de l’espace réseau. Ils prévoient que, d’ici 2022, le marché comptera 8,4 milliards d’appareils personnels ou portables, toujours plus puissants et capables de stocker et de transmettre toujours plus de données, en particulier grâce à l’avènement de la 5G.
Pour les équipes de sécurité, tout sera donc de plus en plus compliqué. Quant à leur rapport sur les réseaux, l’entreprise indique que 94 % des workloads et instances seront traités via le cloud d’ici 2021, ce qui confirme que les entreprises l’adoptent en masse.
En dernier lieu, il est attendu que 31 milliards d’objets connectés occupent le marché d’ici 2021 et la somme de travail nécessaire pour sécuriser l’espace IoT est énorme. Sans quoi, ces appareils seront une porte ouverte aux attaques.
Le botnet Mirai illustre particulièrement bien comment ces attaques peuvent se produire.
L’automatisation : la seule solution au problème de la cybersécurité
Tous ces défis doivent être relevés à une époque où de nombreuses entreprises rapportent faire face à des complications en matière de cybersécurité. Plus particulièrement, ces complications évoluent plus rapidement que le nombre d’experts en cybersécurité augmente.
Il y a deux ans, MacAfee a mené un sondage auprès de 775 professionnels de l’informatique. 9 sur 10 ont indiqué qu’ils pensaient que la technologie serait le seul moyen de répondre au problème du manque de moyens humains face à ces menaces. Les entreprises dépensent des millions de dollars pour leur sécurité et emploient les meilleurs experts possible. La hiérarchie soutient généralement cette démarche et, pour autant, les attaques et les brèches se multiplient.
Il existe trois points-clés pour lesquels l’automatisation présente un intérêt à court terme pour améliorer la sécurité des entreprises.
L’hygiène numérique
De nombreuses entreprises omettent d’installer des patchs pour répondre à une vulnérabilité, parfois plusieurs mois après leur mise à disposition. Elles savent pourtant que lorsqu’une vulnérabilité est exposée, celle-ci peut être exploitée en l’espace de quelques heures.
De plus l’installation de patchs est hautement automatisée, de même que les tests et le déploiement de ces patchs. Les infrastructures et applications cloud sont d’ailleurs patchés grâce à l’automatisation et ceci est très bien accepté. Ce n’est pas le cas sur site.
Les produits de sécurité non déployés
Les entreprises achètent des produits de sécurité pour résoudre un problème mais ne le déploient pas. Là encore, l’automatisation peut apporter une réponse car elle permet de tester ou de déployer le produit très simplement. Il s’agit d’un problème qui ne devrait pas exister.
La communication
Les entreprises achètent des produits de sécurité incapables de communiquer les uns avec les autres. Ces incompatibilités sont souvent exploitées par les hackers pour pénétrer les organisations.
Il est donc plus important de vérifier que les informations peuvent circuler entre les produits afin de s’assurer que si une attaque est bloquée à l’entrée du réseau, cette information sera relayée à l’équipe de sécurité pour faire en sorte que tous les autres points d’entrée soient sécurisés aussi. Il s’agit d’avoir recours à l’automatisation pour que, lorsqu’une menace est bloquée à un endroit, toutes les autres entrées réagissent en même temps.
Les réponses apportées par l’automatisation
La plupart des experts sont d’accord pour dire que l’expertise des professionnels de la sécurité sera toujours nécessaire, car c’est l’association machine-humain et l’automatisation qui viendront à bout de ces défis. Candace Worley explique qu’il « faut faire appel au meilleur de ce que la technologie et les personnes ont à offrir ».
Des technologies telles que l’intelligence artificielle et l’apprentissage automatique peuvent réduire les risques et éliminer le scepticisme que les professionnels de la sécurité ont à l’égard de l’automatisation pour les tâches complexes. Les machines et l’automatisation sont capables de recueillir et d’analyser des données très rapidement.
Les humains, de leur côté, peuvent utiliser les informations obtenues par l’automatisation et apporter une intellectualisation stratégique permettant de nuancer et d’extrapoler. D’autres fois, une machine recommandera une action qu’un humain pourra mitiger. Ainsi, si l’automatisation recommande de désactiver un serveur DNS ou d’isoler l’ordinateur du PDG, une personne pourra examiner le problème de manière plus approfondie.
Vers un changement d’attitude
Les centres d’opérations de sécurité sont souvent les premiers à adopter des changements, et semblent en effet vouloir passer progressivement à l’automatisation, ayant déjà automatisé entre 30 et 75 % de leurs process selon les firmes.
Le changement est encore trop immature et les entreprises ne saisissent pas toutes les opportunités qui s’offrent à elles pour instaurer l’automatisation. Elles doivent comprendre sa valeur en termes d’apport, notamment pour la découverte, l’analyse et la remédiation de vulnérabilités.
La puissance d’analyse de l’automatisation épargne beaucoup de travail aux équipes de sécurité, qui peuvent alors concentrer leurs efforts sur des projets plus critiques comme l’apprentissage automatique et l’intelligence artificielle, qui formeront la base de la réponse future en matière de cybersécurité.
McAfee pense que cette solution devrait permettre une intégration du workflow, de l’appareil au cloud en passant par le partenaire et que ce workflow devrait intégrer trois éléments critiques :
- Faciliter les contre-mesures croisées et les informations connues sur les menaces.
- Réduire la nécessité d’une intervention humaine dans les tâches de remédiation grâce à l’automatisation de ces tâches.
- Délivrer une politique de gestion robuste et des moteurs analytiques qui simplifient le travail des équipes de sécurité en réduisant leur charge de travail tout en formant une barrière supplémentaire sur l’automatisation des scripts au fur et à mesure de leur mise en place.
Il s’agit de mettre à profit à la fois les capacités techniques des machines et les capacités cognitives des humains pour accélérer le temps de détection et réduire l’éventualité de ne pas détecter une menace.
L’automatisation n’est peut-être pas, à elle seule, la réponse à tous les problèmes de cybersécurité, mais elle constitue une valeur ajoutée que personne ne devrait ignorer.
Intervenante : Candace Worley, McAfee