19 août 2015
Comment tirer le meilleur parti des outils de cybersécurité existants au lieu de les remplacer ?
En savoir plus
Les ouvriers de la chaîne de montage de la société Ford appliquent les principes de “ gestion scientifique ” de Frederick Taylor sur une chaîne de montage automobile.
Vous raisonnez comme Frederick Taylor, n'est-ce pas ? “ Attendez une minute ”, protestez-vous. “ Qui, quoi ? ” Ce nom ne vous dit peut-être rien, mais sa pensée, apparue en 1909, influence probablement votre équipe de sécurité informatique bien plus que vous ne le pensez.
Taylor est considéré comme le père de l'“ organisation scientifique du travail ”, qui postulait l'existence d'une seule “ bonne façon ” d'accomplir une tâche. Henry Ford, le père de la production de masse, était l'un de ses plus fervents admirateurs.
“Le taylorisme a préfiguré les techniques actuelles de modélisation des processus métier. Il impliquait des études approfondies du mouvement et du temps, où des observateurs, munis de chronomètres, observaient les travailleurs effectuer leurs tâches. Après une analyse scientifique, l'expert en chronométrage recommandait la procédure optimale, à ne jamais modifier. Quoi qu'il en soit, nous vivons encore dans un monde façonné par Taylor.
flux de travail de sécurité informatique
Les flux de travail de sécurité informatique (un terme issu du taylorisme) reposent sur le principe que chaque étape d'un processus doit prendre un temps précis. Dans la gestion des alertes, par exemple, il faut prévoir quelques minutes pour évaluer la menace, une minute pour ouvrir un ticket, une minute pour envoyer un courriel, et ainsi de suite. Plus le nombre d'étapes est élevé, plus le temps nécessaire est long. Si l'évaluation d'une menace prend cinq minutes, un membre de l'équipe peut en traiter environ douze par heure. Avec 1 000 menaces par jour, il faudra environ 84 heures de travail par jour pour les gérer (soit une équipe de 10 personnes à temps plein).
Si vous recevez 10 000 menaces par jour, comme c'est le cas pour de nombreuses grandes organisations, vous devrez en ignorer un grand nombre. Même si votre budget vous permet d'embaucher 100 agents de sécurité, il est fort probable que vous ne puissiez pas recruter et fidéliser 100 employés qualifiés. En effet, selon une analyse des statistiques du Bureau du travail réalisée en 2015 par le Peninsula Press, il y a actuellement… Plus de 209 000 postes vacants en cybersécurité aux États-Unis. seul. La solution à l'augmentation des alertes de sécurité ne consiste pas toujours à embaucher davantage de personnel.
L'efficacité des opérations de sécurité est une approche pertinente du taylorisme, mais avec certaines limites. Un processus ne peut être exécuté qu'un certain nombre de fois dans un laps de temps donné. De nos jours, nous avons modernisé les concepts de Taylor en les adaptant à des expressions issues du secteur technologique, comme “ j'ai de la bande passante ” ou “ je manque de ressources ”.”
Réponse automatisée aux incidents pour les tâches manuelles et fastidieuses
Réponse automatisée aux incidents et orchestration de la sécurité Cette solution peut radicalement améliorer l'efficacité de votre équipe de sécurité en automatisant les tâches de gestion de la sécurité fastidieuses et chronophages, et en centralisant les données provenant d'outils disparates. Vos collaborateurs peuvent ainsi prendre rapidement des décisions éclairées en cas de besoin. Désormais, l'équipe de sécurité peut définir, modéliser et automatiser ses processus de réponse aux alertes directement dans le logiciel.
Grâce à la réponse automatisée aux incidents, votre équipe des opérations de sécurité peut automatiquement :
- ouvrir et fermer les billets par programmation
- envoyer des courriels aux principales parties prenantes
- Traiter les pièces jointes suspectes des courriels pour analyse
- exécuter automatiquement un plan de remédiation et/ou signaler un incident pour un examen plus approfondi
| En l'état | Avec l'automatisation | |
|---|---|---|
| Délai de traitement de l'alerte (heures) | 0.1 | 0.01 |
| Alertes traitées par personne/équipe | 80 | 800 |
C'est une excellente nouvelle pour les responsables de la sécurité. Comme le montre ce tableau, si le temps de traitement d'une alerte peut être réduit de 0,1 heure à 0,01 heure grâce à l'automatisation de la réponse aux incidents et à l'orchestration de la sécurité, la capacité de traitement des alertes des équipes de sécurité informatique est décuplée. L'efficacité des opérations de sécurité s'en trouve ainsi améliorée et une équipe de 10 personnes peut traiter jusqu'à 8 000 alertes par jour.
Meilleure évaluation des menaces grâce au contexte et à la focalisation
L'automatisation de la réponse aux incidents permet d'optimiser le rendement de votre équipe, du moins si l'on en croit les chiffres bruts. Frederick Taylor serait fier du gain d'efficacité décuplé. Cependant, une approche purement taylorienne de la gestion des menaces occulte la charge mentale liée à la supervision du processus.
Avec un processus de gestion manuelle des alertes, la charge mentale est immense. Le traitement des alertes de sécurité n'est pas linéaire : les incidents s'interrompent et reprennent. Des personnes sont consultées et les tickets sont modifiés au fil du temps. Le nombre de détails et de tâches que le technicien informatique doit gérer mentalement peut rapidement devenir exponentiel. Si une personne suit 100 alertes, chacune comportant 5 étapes de traitement et, par exemple, trois parties prenantes, cela représente 1 500 détails à suivre.
Même avec l'automatisation de la sécurité, la charge mentale demeure. Si chaque membre de votre personnel gère désormais 800 alertes par jour sans disposer d'un moyen efficace de visualiser la situation ni de suivre les étapes de traitement, il sera désorienté, stressé et prendra de mauvaises décisions sur la base de données incomplètes ou erronées. Ce qui est problématique.
Présentation de Swimlane pour la réponse automatisée aux incidents
Swimlane centralise les activités d'opérations de sécurité avec son automatisation et orchestration de la sécurité Swimlane centralise le suivi de toutes les tâches de sécurité de l'entreprise et s'intègre à vos applications de sécurité hétérogènes pour vous offrir une vue d'ensemble de votre situation. La solution propose un accès centralisé aux incidents, rapports, tableaux de bord et indicateurs, aussi bien pour les utilisateurs individuels que pour les équipes. Cette centralisation et cette modélisation visuelle permettent aux responsables de la sécurité de gérer un grand nombre d'alertes et de disposer de toutes les informations contextuelles nécessaires pour prendre les bonnes décisions, le tout depuis une interface unique.
De plus, Swimlane permet une orchestration centralisée de tous vos outils de remédiation, de vos réponses et de vos rapports. Grâce à Swimlane, l'équipe de sécurité peut accélérer sa réponse aux menaces sans être submergée.
Swimlane est une solution centralisée de réponse automatisée aux incidents et d'orchestration de la sécurité. Dotée d'une interface visuelle intuitive et d'une intégration avancée et flexible, elle garantit une gestion des alertes hautement automatisée, même en cas de fréquentes modifications. Améliorez l'efficacité de vos opérations de sécurité avec Swimlane et assurez-vous qu'aucune alerte ne soit négligée.
Pour savoir si l'automatisation et l'orchestration de la sécurité pourraient être utiles à votre organisation, contactez-nous au 1.844.SWIMLANE ou planifier une démonstration.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español