Comment les CISO les plus performants protègent leurs organisations face aux menaces croissantes

De nouvelles données révèlent qu'un groupe de dirigeants leaders en cybersécurité investit actuellement dans un ensemble émergent de fonctionnalités, notamment la gestion nouvelle génération des informations de sécurité et des événements (SIEM), la détection et la réponse aux points de terminaison (EDR), ainsi que la détection et la réponse étendues (XDR). Ces leaders ont mis en place des pratiques bien plus avancées que celles de la plupart des organisations, ce qui creuse davantage l'écart en matière de résilience.  

L'étude, commandée par Elastic et intitulée "Des solutions de cybersécurité dans un monde où il y a plus de risques", montre comment 1 200 organisations réparties dans 16 pays et 14 secteurs d'activités, dont les dépenses cumulées en matière de cybersécurité se montent à 125,2 millions de dollars, investissent actuellement dans leurs défenses pour faire face à l'expansion des menaces. C'est un appel urgent à l'action que lance le cabinet de recherche ThoughtLab, lequel a identifié un petit groupe d'organisations leaders. Cependant, la majorité des participants à l'étude doivent modifier leurs processus et leurs technologies rapidement s'ils veulent améliorer l'efficacité de leurs stratégies de cybersécurité pour ne pas rester à la traîne. 

Téléchargez le rapport pour savoir où se situe votre organisation en la matière.

Le SIEM nouvelle génération comme principal investissement 

D'après l'étude, près de la moitié des organisations (44 %) souhaitent renforcer ou remplacer leur SIEM. En effet, le SIEM va devenir le principal domaine d'investissement en matière de cybersécurité, tout comme la gestion des identités et des accès (IAM), au cours des deux prochaines années. 

Actuellement, les principales technologies de cybersécurité dans lesquelles les organisations investissent sont les suivantes : sécurité des e-mails, protection contre les attaques par déni de service (DDoS), gestion des appareils mobiles, broker de sécurité d'accès au cloud, gestion des politiques de sécurité du réseau, et gestion des informations de sécurité et des événements (SIEM). En revanche, lorsqu'on se penche sur les priorités dans le futur proche, celles-ci sont différentes. Dans deux ans, les principaux domaines concernés par les investissements technologiques se classent comme suit : SIEM, IAM, protection DDoS, plateformes de protection des charges de travail cloud, sécurité des e-mails et l'approche Secure Access service Edge (SASE).

Les organisations qui, aujourd'hui, doivent optimiser la détection des menaces pourraient se tourner vers des tendances comme celles-ci pour planifier leurs prochaines étapes. Un SIEM peut apporter "une meilleure visibilité et un plus grand nombre de points de données pour favoriser des décisions plus granulaires", indique Duc Lai, CISO du Centre médical de l'Université du Maryland. 

[Découvrez comment Elastic aide les entreprises à logger des données de différents environnements dans le sillage de Log4Shell, puis à observer et protéger ces mêmes données sur une plateforme unique.]

Lorsque les organisations sont sur le point de remplacer ou de renforcer leur SIEM, quels sont les aspects qu'elles doivent prendre en compte ? Pour nous, les fonctionnalités cloud-native sont la marque de fabrique d'un SIEM nouvelle génération. 

"L'une des plus grandes tendances qui motivent le remplacement du SIEM est le passage au cloud", indique Mandy Andress, CISO chez Elastic. "Avec la migration des charges de travail vers le cloud, il est devenu essentiel de pouvoir monitorer les déploiements sur le cloud". Par ailleurs, même si les SIEM existants sont capables d'ingérer un certain volume de données, ils n'offrent pas toujours la possibilité de les analyser. Un SIEM nouvelle génération devrait pouvoir mettre en corrélation les données et les traiter afin de faire ressortir des informations exploitables permettant de répondre de manière opportune, sans que cela ne nécessite d'efforts manuels laborieux.

[Découvrez les aspects à prendre en compte pour le SIEM et la façon dont Elastic y répond.]

Des analyses avancées avec l'EDR et le XDR

L'EDR et le XDR font également partie des priorités des organisations. En effet, une organisation sur cinq déclare que l'EDR sera son principal investissement technologique dans deux ans. L'EDR utilise le Machine Learning pour assurer la prévention contre les ransomwares et les malwares, détecter les menaces avancées et fournir un contexte essentiel aux équipes pour qu'elles puissent y répondre. En ce qui concerne le Machine Learning, l'écart se creuse entre les différentes organisations : Seulement 26 % des organisations indiquent qu'elles utilisent l'analytique avancée, comme l'IA et le ML, pour identifier les vulnérabilités en matière de sécurité et les menaces.  

[Découvrez pourquoi Elastic a été désignée Strong Performer par le rapport Forrester Wave™ : "Endpoint Detection and Response Providers" du 2e trimestre 2022.]

En attendant, le XDR combine des fonctionnalités EDR associées à l'analyse fondée sur le Machine Learning afin de corréler les activités et d'identifier les menaces. "La vitesse de traitement et l'analyse en temps réel constituent des avantages clés", indique Mandy Andress. Une organisation leader sur cinq prévoit d'investir dans le XDR au cours des deux prochaines années.

Autre point intéressant à souligner : une organisation leader sur trois déclare qu'elle préfère adopter des technologies de sécurité proposant un ensemble de fonctionnalités sous forme de "plateforme" plutôt que de déployer des solutions ponctuelles. C'est le cas du XDR, qui est généralement proposé sous forme de plateforme de sécurité unifiée qui s'intègre à d'autres outils et qui sert de point de référence unique pour les analystes. "Les plateformes XDR récentes traitent un éventail plus vaste d'opérations de sécurité, avec plusieurs fonctionnalités intégrées", indique Mandy Andress, "notamment des règles prêtes à l'emploi spécifiques au cloud, l'analytique et le Machine Learning pour mettre au jour les anomalies, des fonctionnalités de points de terminaison intégrées pour faire des examens plus rapides et plus approfondis, des intégrations de workflow pour automatiser les réponses, et bien plus encore."

Votre futur dans le cloud 

Les investissements dans le cloud ont augmenté de 25 % l'année dernière (en pourcentage des dépenses informatiques). Ceci s'explique par le fait que les organisations font de plus en plus appel à des fournisseurs, des services et des interconnexions cloud en combinaison avec d'autres technologies.

Étant donné que les organisations optent davantage pour des technologies cloud-native, elles doivent faire attention à les adopter en toute sécurité. Près de la moitié des organisations (49 %) pensent que les erreurs de configuration deviendront la cause principale des failles au cours des deux prochaines années, plus que toute autre cause à l'origine des failles importantes qu'elles ont pu connaître récemment. Il est important de configurer les paramètres et les frameworks de sécurité avec soin sur les applications, les systèmes et les serveurs afin d'empêcher les attaquants de s'engouffrer dans une brèche éventuelle.

De ce fait, les investissements dans la sécurité du cloud sont essentiels. Les organisations leaders déclarent que les plateformes de protection des charges de travail cloud sont la deuxième technologie la plus efficace dans laquelle elles investissent actuellement, après la sécurité des e-mails. Par ailleurs, une organisation sur cinq indique manquer de visibilité sur les menaces au-delà des points de terminaison, ce qui inclut les réseaux, le cloud et l'infrastructure. Étant donné qu'un plus grand nombre d'organisations se tournent vers des environnements multicloud hybrides, les plateformes de protection des charges de travail cloud peuvent aider les équipes de sécurité aussi bien à protéger les charges de travail serveur qu'à obtenir une visibilité constante.

La sécurité comme une problématique liée aux données

Sur la question de la détection des menaces et de la sécurité des données, l'écart entre les organisations leaders et les autres est important. Les problématiques que posent des activités spécifiques, comme le monitoring continu, la détection des anomalies et la gestion des identités, indiquent que certaines organisations luttent pour bénéficier d'une visibilité adéquate sur leurs données et pour les protéger.

Par exemple, pendant que 81 % des organisations leaders ont géré ou optimisé leurs processus de détection, seulement 47 % des autres organisations ont fait de même. Concernant le monitoring continu, 66 % des organisations leaders se classent en bonne position sur cet aspect, contre 28 % pour les autres. Il en va de même pour la détection des anomalies et des événements (68 % pour les organisations leaders contre 25 % pour les autres). 

L'histoire se répète en ce qui concerne la sécurité des données. 69 % des organisations leaders ont géré ou optimisé la sécurité de leurs données, contre 44 % pour les autres. Concernant la gestion des identités et les contrôles d'accès, le succès est relativement faible dans l'ensemble : 57 % des organisations leaders ont fait des progrès sur la question, contre 24 % chez les autres. 

Ceci étant dit, une grande partie des organisations leaders s'améliorent dans ces domaines. Dans le cadre des initiatives prévues au cours des deux prochaines années, 34 % des organisations leaders comptent investir dans le développement et le maintien d'une fonctionnalité de monitoring de la sécurité et de détection des menaces, et 36 % prévoient d'investir dans une coordination plus étroite de la cybersécurité avec les initiatives sur la confidentialité des données. Ce dernier aspect fait partie des principaux investissements concernant les processus, avec la réalisation d'évaluations périodiques de risques, d'audits, de tests de contrainte et de tests de pénétration, ainsi que l'élaboration et le maintien d'un plan de réponse et de reprise en cas d'incident de cybersécurité.

Des équipes au top grâce aux formations et au perfectionnement des compétences

Le déferlement de menaces plus sophistiquées les unes que les autres nécessite que les équipes qui y font face soient plus robustes et bien préparées pour se défendre. Il n'y a pas de petites victoires dans un secteur qui manque cruellement de talents. "Pendant que la menace des malwares, ransomwares et failles de sécurité ne cesse de prendre de l'ampleur, de nombreux directeurs de la sécurité sont confrontés à une grande problématique : trouver la nouvelle génération de professionnels de la sécurité", indique Mandy Andress. 

La pénurie de professionnels expérimentés en matière de cybersécurité était un défi pour 24 % des organisations. Ce pourcentage devrait passer à 27 % d'ici deux ans. Les organisations leaders, qui sont généralement de grosses entreprises comptant beaucoup d'employés, disposent d'effectifs plus nombreux pour gérer l'informatique et la sécurité des données, ce qui peut faire une différence au niveau du degré de préparation en matière de cybersécurité.

Pour faire face à cette problématique, 46 % des organisations, quelles qu'elles soient, investissent dans le perfectionnement des compétences des effectifs chargés de l'informatique et de la cybersécurité. Il est en effet impératif de former les employés de manière continue, surtout lorsqu'on pense aux causes premières des deux failles les plus courantes. D'après les organisations, l'escroquerie par phishing/ingénierie sociale et les erreurs humaines risquent d'être les principales sources de nombreuses failles au cours des deux prochaines années, suivies par les ransomwares. 

Dans le même temps, les CISO font preuve d'un esprit plus stratégique. Ils ont une plus grande influence sur les activités de leur organisation, ainsi que sur les plans de transformation numérique. Par exemple, 42 % des organisations indiquent que les CISO gèrent mieux les arnaques et les délits d'initié. La cybersécurité devient également un effort d'équipe chez les dirigeants, notamment les CEO, les COO, les CIO, le service juridique, les agents chargés des risques, de la confidentialité et de la conformité, qui considèrent la sécurité comme étant un réel impératif stratégique. L'expansion du rôle du CISO et de sa collaboration avec des pairs pourrait aider les organisations à maintenir une attention soutenue sur la formation et le perfectionnement des compétences en sécurité pour atténuer les risques, comme les délits d'initié.

À vous de jouer !

Quels sont les aspects sur lesquels l'approche de votre organisation excelle et quels sont les points où vous pouvez l'améliorer ? Lisez le rapport dans son intégralité pour obtenir des enseignements des organisations leaders et évaluez votre propre posture de cybersécurité.