La complexité croissante des réseaux d’entreprise, notamment l’infrastructure et les services cloud, les applications mobiles, les desktops virtuels et les systèmes IoT et SDN/NFV, rend la tâche de plus en plus difficile pour les équipes en charge de la sécurité et des opérations réseau. Parallèlement, les structures et les rôles organisationnels traditionnels sont confrontés à des attaques dont la fréquence et la sophistication ne cessent d’augmenter.
L’évolution technologique va jouer un rôle prépondérant : des workflows intégrés et plus automatisés, l’intelligence artificielle pour gérer et analyser plus rapidement les alertes, ainsi que des fonctions mieux intégrées de veille sur les menaces. Mais se protéger contre les attaques modernes nécessitera plus qu'une technologie améliorée. La technologie a besoin d’évoluer, tout comme les relations de travail entre les équipes sécurité et celles des opérations réseau.
Point de convergence naturel
Le réseau est sans cesse confronté à des attaques avancées, pour exploiter les vulnérabilités à partir des commandes et contrôles externes, ou pour exfiltrer des données précieuses. Avoir une visibilité de la sécurité du réseau est le point de convergence naturel entre les équipes sécurité et les équipes opérations réseau. Les concepteurs d’architecture de sécurité, ingénieurs et analystes SOC maîtrisent la cybersécurité, mais les équipes réseau jouent un rôle crucial dans la limitation des dommages et la restauration des systèmes. Concernant la correction de faille et les plans de prévention, les analystes sécurité doivent souvent travailler en étroite collaboration avec - et, dans certains cas, déléguer des tâches aux - administrateurs réseau et endpoint.
État de la collaboration
Comment les équipes sécurité et informatique voient-elles leur coopération actuelle ? Ceux chargés des questions environnementales, sociétales et de gouvernance (ESG) et l’ISSA collaborent chaque année à l’enquête mondiale The State of Cyber Security Professional Careers menée auprès de 437 professionnels de la sécurité et de l'informatique, qui a révélé un taux de satisfaction plus élevé parmi les plus hauts placés : 48 % des managers interrogés pensent que les relations sont très bonnes. Mais quand la question est posée à ceux chargés de la cybersécurité en frontline, les résultats ne sont pas aussi encourageants. Seulement 32 % des professionnels de la sécurité et de l'informatique de niveau frontline pensent que les relations sont très bonnes.
Les trois défis majeurs communs aux équipes sécurité et informatique :
- Prioriser les tâches entre les deux groupes
- Coordonner les processus
- Aligner les objectifs
La technologie peut faciliter la collaboration par un meilleur partage des données et des workflows communs automatisés au sein des différentes équipes réseau et sécurité. Des tableaux de bord ou interfaces adaptables peuvent être configurés d’après un rôle utilisateur spécifique, mais en travaillant à partir de données et définitions déterminées et partagées.
Mais améliorer la collaboration nécessitera également de nouveaux processus et des changements dans les relations de travail entre les équipes sécurité et réseau.
Améliorer la collaboration
La première étape pour favoriser une meilleure coordination entre les équipes est de s’accorder sur la définition des fondamentaux : qu’est-ce qu'un incident de sécurité et comment sont déterminés les priorités ou niveaux de sécurité ?
La deuxième est de communiquer de façon régulière et itérative pour classer les incidents par ordre d'importance et mettre l’accent sur l’intervention, surtout pendant un incident.
Les démarches structurelles et organisationnelles qui sont entreprises en vue de favoriser la coordination entre les équipes comprennent notamment :
- Accroître la participation de la sécurité dans la planification informatique
- Adopter de nouveaux processus ou frameworks informatiques tels que COBIT, ITIL, NIST-800, etc.
- Migrer certaines tâches informatiques vers l’équipe sécurité
Une participation régulière des équipes sécurité à la planification informatique améliore considérablement la transparence et la confiance entre les équipes. Elle permet aussi aux équipes sécurité d’être les premières à découvrir les nouvelles initiatives de planification, de test et de déploiement informatique. De même, des frameworks tels que COBIT et ITIL peuvent formaliser les workflows et encourager des communications régulières. Celles-ci contribuent également à instaurer la confiance entre les organisations et les membres de l’équipe.
Un travail perfectible
Rendre la sécurité efficace a toujours été une responsabilité collective. La complexité croissante des grands réseaux et les moyens sophistiqués des cybercriminels posent un problème majeur aux structures et rôles organisationnels. Cependant, rendre la cybersécurité efficace a toujours nécessité un effort collectif. La convergence des équipes en charge de la sécurité et des opérations réseau demeure perfectible. Tout comme l’évolution de la technologie et des outils, les équipes sécurité et opérations réseau doivent poursuivre leur effort de collaboration.