Comment savoir si vos outils de cybersécurité fonctionnent réellement?

Comment savoir si vos outils de cybersécurité fonctionnent réellement?

Votre entreprise a investi dans des dizaines d’outils de cybersécurité. Mais vous ne savez pas s’ils fonctionnent comme prévu.

Par exemple, quel pourcentage d’attaques bloquées avec succès signalées par votre outil de gestion des informations de sécurité et des événements de sécurité (SIEM) correspond à des rapports faux, où l’attaque a réellement eu lieu mais a été signalée comme bloquée? Zéro pour cent? Cinquante pourcent? Comment pouvez-vous savoir à coup sûr?

Les dépenses de sécurité de l’année prochaine vont probablement augmenter. Comment procéder avec des investissements supplémentaires alors qu’il y’a tant d’incertitudes quant à l’efficacité des investissements précédents? Que dites-vous au sujet de l’état actuel de votre infrastructure de sécurité lors de vos prochaines rencontres avec les dirigeants ?

Bienvenue dans l’ère d’incertitude en matière de cybersécurité.

La bonne nouvelle: vous n’êtes pas seul

Cette incertitude est une pandémie et résulte en grande partie de l’évolution rapide du paysage des menaces. Les cybercriminels sont en train de mettre au point de nouveaux systèmes pour voler des données et causer des ravages à un rythme toujours plus rapide. Vous et vos collègues agissez rapidement et essayez de ne pas tout casser, en mettant en œuvre des solutions de manière souvent fragmentée et dans un environnement de travail et de données cloisonné.

En fait, plus de la moitié des responsables de la sécurité d’entreprise ne savent pas si leurs outils de sécurité fonctionnent, selon un nouveau rapport de l’Institut Ponemon et d’AttackIQ. De plus, seulement 39% des personnes interrogées pensent tirer pleinement parti de leurs investissements en sécurité.

Plus précisément, ce manque de visibilité sur l’efficacité des outils de sécurité peut se résumer en trois points que les responsables de la sécurité devraient savoir, mais qu’ils ne font souvent pas:

  1. Que les attaques soient arrêtées ou non;
  2. Si l’organisation tire pleinement parti des dépenses d’infrastructure de sécurité; et
  3. Comment donner aux dirigeants une image claire du statut de sécurité actuel de l’organisation.

Ce manque de visibilité n’est pas réparti de manière égale dans l’infrastructure de l’entreprise. Les problèmes les plus importants concernent les systèmes BYOD (Bring-Own-Own-Device), les environnements cloud et les périphériques Internet des objets (IoT).

L’un des problèmes est l’expérience des faux négatifs. Environ 63% des répondants à l’étudePonemon ont déclaré avoir été témoins d’un contrôle de sécurité rapportant une attaque bloquée, alors que cette attaque n’était pas bloquée. Cela sape la confiance et crée une incertitude, comme il se doit.

Un autre problème est le grand nombre de solutions. Les entreprises interrogées déploient en moyenne 47 solutions de cybersécurité différentes, mais seulement 39% d’entre elles estiment qu’elles tirent pleinement parti de leurs achats de produits de sécurité. Tant de produits et services distincts, donc peu de confiance. Quelque chose doit changer.

Une nouvelle étude du SANS Institute, sponsorisée par IBM Security, a révélé que le manque de visibilité et la complexité de la gestion des données sur des infrastructures sur site et en nuage augmentent les risques de cyberattaques. Près de la moitié (48%) des répondants ont déclaré manquer de visibilité dans les données organisationnelles en raison de divers facteurs, notamment:

  • Dispositifs non gérés;
  • Manque d’informations sur l’emplacement des données sensibles;
  • Intégration insuffisante entre les outils de cybersécurité et l’infrastructure en cloud;
  • Mauvaise compréhension des menaces qui ciblent les environnements cloud;
  • Des outils d’analyse de la sécurité inefficaces sans une compréhension approfondie de l’utilisation des données de l’entreprise – par exemple, ce qui constitue exactement le comportement «normal» d’un utilisateur par rapport à un comportement inhabituel; et
  • Bien sûr, personnel limité.

Comment acquérir une meilleure visibilité dans votre environnement?

Il existe des mesures claires que vous pouvez prendre, même avec un personnel limité, pour obtenir une bien meilleure visibilité de l’efficacité des outils que vous utilisez pour lutter contre les cyberattaques.

  • Obtenez de l’aide de l’intelligence artificielle (IA). Au lieu d’utiliser des ressources en personnel limitées pour déterminer ce qui se passe, ce qui constitue un comportement normal parmi les utilisateurs et, par conséquent, ce qui constitue une activité suspecte, déployez une solution d’IA pour le faire à votre place.
  • Déployez une plateforme de renseignement sur les menaces et assurez-vous que tout le monde y est connecté. Cela accélérera la découverte de l’activité louche. Le partage (informations sur d’éventuelles violations ou tentatives d’attaque) est bienveillant.
  • Travaillez à éliminer les silos au sein de l’organisation pour accélérer les réponses aux incidents de sécurité. Évangéliser et promouvoir le travail d’équipe entre les départements pour le bénéfice de tous. La meilleure façon de gérer les silos de données consiste à consolider les solutions de sécurité sur un nombre réduit de plates-formes ou sur une plate-forme d’un seul fournisseur. Consolidez, communiquez et partagez.
  • Concentrez-vous sur les pratiques et les solutions qui vous donneront une visibilité sur les environnements cloud et IoT. C’est là que réside la part du lion des problèmes de visibilité.
  • Réalisez des tests d’intrusion selon un calendrier prédéterminé pour découvrir les failles de sécurité restantes.

L’espoir n’est pas une stratégie et un voeu pieux n’est pas un plan de réussite. Il est temps de transformer ce sentiment incertain d’incertitude quant à l’efficacité de vos outils de cybersécurité en un plan d’action qui vous permettra d’obtenir la visibilité dont vous avez besoin.

La personnalité est-elle l'élément manquant de la formation à la sensibilisation à la sécurité? Disappearing Act: Ce que les tours de magie peuvent enseigner aux RSSI sur la prévention des malwares