Ces dernières années, nul ne peut nier l’accélération qu’a connu le monde numérique. Elle a été impulsée, d’une part, par des logiques de réduction des coûts, des gains de temps et de productivité et, aussi, de l’amélioration des flux de travaux au sein des entreprises de toute taille. D’autre part, cette accélération est déclenchée par la nécessité d’apporter des réponses simples, rapides et efficaces aux besoins des utilisateurs finaux et des clients, de plus en plus, exigeants.
Le dilemme de la cybersécurité : pilule rouge ou pilule bleue ?
Comme tout secteur d’activité, le monde de la cybersécurité n’a pas échappé à la règle et a connu aussi une transformation radicale, que ce soit au niveau de l’organisation du travail ou des outils pour accompagner l’accélération digitale. D’ailleurs, cette transformation nécessite un accompagnement au changement qui, malheureusement, n’était pas au rendez-vous. Je n’en fais pas ici un constat personnel, mais la réalité du terrain suffit, à elle seule, pour démontrer mes propos. Sur les dix dernières années, plusieurs constats le démontrent et il suffit de s’intéresser à l’actualité cybersécurité pour en prendre conscience :
- Une surface d’exposition aux menaces cyber avec des incidents à la Mr. Robot et dignes d’Hollywood ;
- Une forte pénurie des compétences cybersécurité : 3,12 millions de postes à pourvoir au niveau mondial selon le World Economic Report 2021 ;
- Une filière cybersécurité au bord du burnout avec de plus en plus de professionnels, développant des symptômes de dépression aiguë.
- Etc.
Bien évidemment, mon propos n’est, en aucun cas, l’occasion d’alimenter un discours alarmiste. Comme l’a bien résumé un grand homme de nos temps modernes :
« Un pessimiste voit la difficulté dans chaque opportunité, un optimiste voit l’opportunité dans chaque difficulté. »
Winston Churchill
Au contraire, la filière cybersécurité ne s’est jamais portée aussi bien qu’à notre époque avec, à la clé :
- De plus en plus de formations professionnelles pour pallier la pénurie constatée ;
- De plus en plus de standard et de réglementation cybersécurité pour structurer la filière et accompagner les nouvelles stratégies digitales : méthodes agiles, Move to cloud, eSCM, Réalité augmentée, Metaverse, etc.
- De nouveaux métiers pour accompagner la transformation digitale et la maitrise des nouvelles technologies : Cloud, IoT, Intelligence artificielle, block Chain, informatique quantique …
- Etc.
Laissant ainsi le champ des possibilités ouvert, et la nécessité de saisir cette opportunité en or pour lancer des initiatives permettant de propulser cette filière dans l’air du temps.
A vous de voir de quelle pilule ingurgiter, la pilule bleue pour embrasser la vague de l’automatisation ou la pilule rouge pour rester dans la démarche cyber sécuritaire, réactive et traditionnelle. Fort heureusement dans un cas comme dans l’autre, le choix reste révocable.
L’automatisation en cybersécurité : késako ?
L’automatisation est la pratique faisant appel à l’emploi d’une machine ou d’un automatisme pour assurer l’exécution totale ou partielle des tâches techniques, par des machines fonctionnant sans intervention humaine. On peut y voir une extension des capacités de l’être humain pour accomplir certaines tâches, tout en produisant un effet de levier en puissance de la force humaine, de son intelligence, de son autonomie, etc.
La notion d’automatisation n’est pas nouvelle au monde de la cybersécurité. Un antivirus est un exemple des automatisations mises en œuvre pour détecter et bloquer les malwares sur les équipements informatiques. Cependant, dans le cadre d’environnement IT dynamique, le besoin en automatisation des processus cybersécurité, que ce soit pendant les phases amont de design et de développement, ou pendant la phase aval d’exploitation, devient de plus en plus « un must have » pour faire face aux menaces cyber.
L’automatisation, un scénario de rêve pour les RSSI
Pour comprendre ce que peut apporter l’automatisation en cybersécurité, je vous invite à imaginer avec moi le quotidien d’une équipe sécurité ayant relevé le défi d’automatiser ses processus de sécurité opérationnelle. Un scénario de rêve se déroulerait comme suit :
- Une vulnérabilité Zero-Day (score CVSS : 10) a été publiée dans la soirée ;
- Le bot de veille récupère les informations importantes : Technologie concernée, versions impactées, Indicateurs de Compromission (IoC), correctif disponible, etc.
- Le bot lance une recherche dans la CMDB pour récupérer la liste des assets pouvant être impactés par la vulnérabilité ;
- Le bot orchestre la diffusion des informations collectées aux équipements sécurité en fonction de la finalité de chaque équipement :
- Détection : mise à jour des règles de détection pour identifier tout événement impliquant les IoCs et les assets vulnérables ;
- Réponse : mise à jour des listes noires pour les équipements de protection (pare-feu, IPS, WAF) afin de bloquer toute communication à venir.
- Gestion des correctifs : téléchargement du patch si disponible et installation sur l’environnement de qualification des correctifs sécurité.
- Notification : envoi d’une notification regroupant les informations nécessaires pour le RSSI/l’astreinte sécurité (liste des assets impactés, IoC, évènements internes détectés, résultat de l’installation du correctif, etc.) pour lancer ou pas une cellule de crise ;
- Etc.
- Le bot récupère les informations de suivi et alimente le tableau de bord SSI avec l’ensemble des actions menées dans la soirée : nombre de règles de détection et de réponse créées, blacklistes mise à jour, statut des correctifs sur les assets impactés, etc.
- Le bot mis à jour la base de données du risque opérationnel avec les informations relatives aux évènements détectés ;
- Le bot organise un point de synchronisation interne à la direction SSI à la première heure le lendemain pour faire un point de situation et valider le plan de tir pour la suite des opérations.
- Etc.
Bien évidemment, les sachants attireront mon attention sur la nécessité d’avoir une confiance aveugle dans sa CMDB et de rassembler des prérequis impossibles (interopérabilité entre outils, information incomplète sur les vulnérabilités, etc.) pour atteindre ce niveau d’excellence opérationnelle. Néanmoins, mon petit doigt me dit que dans un monde d’APIsation des interfaces (l’approche tout API), ce scénario de rêve est possible. Ce n’est qu’une histoire de temps pour voir atterrir des scénarios similaires au sein de nos organisations et institutions publiques.
J’aurais l’occasion de revenir dans un deuxième article sur les tenants et les aboutissants de la démarche d’automatisation en cybersécurité. D’ici là, bonne lecture à tous, portez-vous bien et préparez-vous à l’arrivée du SecBot !
Ayoub FIGUIGUI
Président fondateur du cabinet Secu9 Pure Player du conseil en cybersécurité depuis 2016. Consultant et professeur en cybersécurité.