Analyse de Gartner sur la gestion des réponses aux incidents

Si vous avez consulté ce blog ces derniers mois, vous savez que nous considérons la sécurité de l'information comme étant à un tournant décisif. Pendant des années, les organisations se sont fortement appuyées sur des solutions de détection qui, bien qu'efficaces, génèrent un volume d'alertes trop important pour être traité manuellement par la plupart des centres d'opérations de sécurité (SOC) ; inévitablement, des incidents passent entre les mailles du filet. C'est pourquoi nous pensons que le seul moyen pour les entreprises de se protéger efficacement est de privilégier la gestion des réponses aux incidents.

Il s'avère que nous ne sommes pas les seuls à partager ce point de vue. Gartner, le cabinet d'analyse et de recherche informatique leader mondial, préconise désormais lui aussi une approche plus globale de la cybersécurité. L'année dernière, les analystes de Gartner, Neil MacDonald et Peter Firstbrook, ont publié un document intitulé “ Concevoir une architecture de sécurité adaptative pour se protéger des attaques avancées ”, dont le résumé soulignait :

“ Les entreprises dépendent trop de mécanismes de blocage et de prévention dont l’efficacité face aux attaques sophistiquées diminue. Une protection complète exige un processus de protection adaptatif intégrant des capacités de prédiction, de prévention, de détection et de réponse. ” ¹

Cette tendance à la gestion des incidents se manifeste également dans le programme des prochaines réunions de l'entreprise. Sommet sur la sécurité et la gestion des risques. Il répertorie de nombreux sujets liés à la gestion des incidents, dont certains ont déjà été abordés sur ce blog, notamment :

• Exploiter les renseignements sur les menaces pour la réponse
• Comment le Internet des objets aura un impact sur la sécurité de l'information
• La nécessité de nouvelles architectures de sécurité qui complètent le cycle de vie de la sécurité de l'information

Avec une entreprise aussi réputée que Gartner qui préconise la gestion des réponses aux incidents, de nombreux outils et solutions d'automatisation dédiés à ce domaine devraient sans aucun doute arriver sur le marché dans les prochaines années. Mais avant d'investir dans l'un de ces outils, les DSI et RSSI doivent avoir une vision claire du fonctionnement actuel de leurs SOC : les processus utilisés par leurs experts pour répondre aux alertes, leurs indicateurs clés et leurs principaux points de blocage. Ce n'est qu'avec ces informations en main que les décideurs pourront s'assurer d'investir dans un outil adapté à leurs besoins spécifiques.

À ce stade, les DSI et les RSSI peuvent prendre une décision fondée sur des preuves quant à la solution qui répond le mieux à leurs besoins en matière de réponse aux incidents et envisager l'avenir avec confiance.

¹ Gartner, Conception d'une architecture de sécurité adaptative pour la protection contre les attaques avancées, Neil MacDonald, Peter Firstbrook, 12 février 2014, mis à jour le 19 novembre 2014