Pourquoi même 99 % ne suffisent pas pour la réponse aux incidents

Dans la plupart des professions et des secteurs d'activité, un taux de réussite de 99 % pour n'importe quel objectif serait plus que satisfaisant, voire sans précédent. Cependant, dans le domaine de l'analyse et du reporting en matière de sécurité, ce 1 % restant peut s'avérer catastrophique pour une organisation.

Les centres d'opérations de sécurité des entreprises actuelles sont submergés chaque jour par des milliers d'alertes de sécurité provenant d'outils de détection et, dans de nombreux cas, souffrent de surcharge d'informations. Avec autant d'alertes à examiner, à classer et pour lesquelles il faut générer des rapports, la réalité pour les professionnels de la cybersécurité est que certaines de ces alertes en attente seront ignorées, soit involontairement, soit simplement parce qu'il n'y a pas assez de temps pour les examiner en profondeur.

Le problème pour ces organisations souvent débordées est qu'ignorer même un événement de sécurité clé, quelle que soit sa gravité, la vulnérabilité peut faire la différence entre une attaque déjouée et une attaque réussie ; et comme l’ont prouvé de récentes violations de données très médiatisées, une attaque réussie expose une organisation à risque énorme et peut l'ébranler jusque dans ses fondations.

Face à ce déluge d'alertes, les entreprises n'ont plus que deux options :

1. Investir des capitaux pour embaucher de nouveaux employés en sécurité de l'information
2. Accroître la capacité et la productivité du personnel existant

Bien qu'il soit judicieux de renforcer la cybersécurité, les chiffres montrent clairement que même les plus grandes organisations ne pourront pas augmenter leurs effectifs proportionnellement à la hausse des cyberattaques. Le rapport 2015 de Symantec sur les menaces à la sécurité Internet, par exemple, a constaté une augmentation des attaques contre les grandes entreprises. 40 pour cent En 2015, le nombre total d'attaques par rançongiciel a augmenté de façon spectaculaire de 113 % l'année dernière. Autrement dit, l'option A seule ne constitue pas une stratégie suffisante.

Pour éviter qu'aucune alerte ne passe inaperçue, les organisations peuvent automatiser la réponse aux incidents pour les tâches administratives et les alertes de faible priorité, afin de les traiter en temps quasi réel et de libérer ainsi les équipes de direction pour les événements plus complexes. En d'autres termes, les organisations ont tout intérêt à intégrer à la résolution des menaces la même capacité de traitement ultrarapide que celle offerte par les solutions de détection des menaces actuelles.

Si la gestion des opérations de sécurité atteint un point où toutes les alertes sont traitées soit par des outils de résolution des menaces, soit par des professionnels de la sécurité de l'information, les organisations peuvent garantir qu'aucune alerte n'est ignorée, autrement dit, passer de 99 % à 100 %.