Cyber mesh : le CyberSOC comme levier de réduction du coût des cyberattaques
Couplée à la digitalisation des flux financiers et aux nouveaux écosystèmes Cloud, l’évolution des menaces a mis à mal les politiques de sécurité très centralisées des organisations. Cette approche traditionnelle de la cybersécurité, très silotée et « top-down », peut être remise en question au travers notamment du concept de cyber mesh, ou maillage de la cybersécurité, … Continuer
Couplée à la digitalisation des flux financiers et aux nouveaux écosystèmes Cloud, l’évolution des menaces a mis à mal les politiques de sécurité très centralisées des organisations. Cette approche traditionnelle de la cybersécurité, très silotée et « top-down », peut être remise en question au travers notamment du concept de cyber mesh, ou maillage de la cybersécurité, proposé par le cabinet Gartner. Du concept à la réalité opérationnelle de cette microsegmentation, un CyberSOC moderne s’inscrit parfaitement dans ces stratégies visant à limiter l’impact et le coût des cyberattaques.
La sécurité centralisée laisse entrevoir ses limites
En quelques années, les cyberattaques sont devenues l’un des principaux risques pesant sur les entreprises. S’il est difficile d’estimer leur coût global, certains indicateurs plus parcellaires donnent une idée de leur impact. A titre d’exemples la rançon moyenne est passée de 50 000 à plus de 200 000 dollars sur les 3 dernières années, et le revenu annuel dépasse (largement) la centaine de millions de dollars pour les plus gros groupes ransomware. Cette tendance reflète avant tout la digitalisation de nos sociétés et de nos économies. Les cybercriminels ne font que suivre l’argent. Elle est aussi due à l’évolution des infrastructures et architectures IT qui sont plus ouvertes, complexes, distribuées, pour ne pas dire fragmentées par le move-to-Cloud et les nouveaux modes de travail. Elles offrent ainsi d’autant plus de points d’entrée aux attaquants et rendent caduques les stratégies traditionnelles de cyberdéfense, pensées pour des modèles informatiques plus centralisés et silotés.
Le cyber mesh comme réponse
Pour s’adapter à ce nouveau contexte et apporter une réponse à ces nouveaux défis, les experts – le cabinet américain Gartner en tête – proposent aux entreprises d’adopter une approche dite de maillage de la cybersécurité (ou cyber mesh). Elle vise à implémenter des solutions suffisamment interopérables pour supporter une gouvernance et des processus opérationnels unifiés sur l’ensemble des actifs des environnements hybrides ou/et multi-Clouds. L’idée est de simplifier la collaboration entre les différents contrôles de sécurité autour de quatre piliers. L’analyse des cyberattaques avec un renseignement avancé sur les menaces et des informations sur celles en préparation, permettant d’ajuster les mécanismes de détection et de réponse de l’entreprise. Une couche d’abstraction IAM (Identity and Access Management) afin d’orchestrer de multiples domaines d’identité sur de multiples Clouds. Une posture de sécurité homogène, avec des règles et procédures identiques appliquées sur des environnements qui ne le sont pas d’un point de vue technique. Enfin, avec des vues unifiées sur les rapports et tableaux de bord pour surveiller les actifs ou les indicateurs alimentant la gouvernance de la cybersécurité.
Bien renseigné, le CyberSOC moderne au cœur du cyber mesh
L’approche du Gartner remet aussi en lumière des notions déjà bien connues des spécialistes de la sécurité opérationnelle. Disposer de sources de renseignement de bonne qualité sur les menaces est par exemple devenu indispensable pour toute structure de détection et de réponse aux incidents de sécurité. Les flux et autres portails CTI (Cyber Threat Intelligence) servent aussi de support à certaines règles de détection et viennent enrichir les processus d’analyse. L’intérêt croissant pour la matrice ATT&CK de MITRE mis en place en 2013 afin de décrire et de répertorier les comportements adverses en fonction des observations réelles, illustre également bien la volonté du SOC d’aujourd’hui à apprendre des dernières attaques et, plus largement, utiliser la perspective de l’attaquant pour structurer ses activités.
Interopérabilité et orchestration comme atouts
De même, la logique d’interopérabilité est au cœur du travail d’orchestration et d’automatisation réalisé depuis plusieurs années sur les plateformes SOAR (Security Orchestration, Automation and Response). Ces dernières permettent aux SOC de mettre en œuvre une détection fondamentalement multicanal, en s’interfaçant par API, bien au-delà des SIEM et EDR, avec tous les outils capables de générer des signaux pertinents : sondes d’analyse du trafic réseau, CASB (Cloud Access Security Broker), CSPM (Cloud Security Posture Management), passerelles de sécurité de la messagerie, boutons anti-spam, etc. Elles permettent également d’automatiser des actions de mise en sécurité et de remédiation sur la plupart des infrastructures et services IT, rendant les processus de réponse indépendant des différentes technologies retenues. Une adresse IP découverte malveillante pourra par exemple être blacklistée automatiquement sur l’ensemble de la périphérie (firewalls, proxies, DNS, etc.), mais également sur les terminaux disposant d’une capacité locale de filtrage.
Dans cette logique de détection et de réponse étendue, le Extended Detection Response (XDR), cher aux éditeurs de sécurité, positionne naturellement le SOC au cœur des stratégies de maillage (i.e. cyber mesh). Quant à savoir si le maillage de cybersécurité, ou microsegmentation, tient sa promesse de réduction d’impact des cyberattaques, à défaut de conclure définitivement, il est difficile d’envisager qu’un SOC qui détecte plus tôt et met en sécurité plus vite aille dans le mauvais sens.
Discutons-en !
Vous souhaitez implémenter un maillage de cybersécurité (i.e. cyber mesh) dans votre organisation ? Nous nous ferons un plaisir de vous aider.
Auteur
Laurent Besset, Directeur de la division Cyber Défense I-TRACING
22 mai 2024