Comment transformer votre centre des opérations de sécurité pour lutter contre les cybermenaces

Les équipes modernes de cybersécurité s’efforcent constamment de cerner et de remédier aux cybermenaces avant qu’elles ne causent des dommages. Mais avec l’adoption croissante du numérique au Canada, l’évolution des habitudes de travail et un contexte de menaces insidieuses, il est devenu difficile d’assurer une sécurité proactive.

L' Étude canadienne sur la cybersécurité de CDW a estimé qu'en 2024, 9 à 10 % de toutes les attaques sont devenues des cyberincidents, contre une hausse de 7 à 8 % en 2023, ce qui témoigne de l'augmentation des menaces sophistiquées avec un « taux de réussite » plus élevé.

Pour surmonter de telles menaces, les directeurs des TI et les responsables de la sécurité cherchent souvent des moyens de construire un centre d’opérations de sécurité (SOC) plus mature. Cependant, en cours de route, ils peuvent faire face à des complexités d’intégration, à des lacunes en matière de compétences et à des contraintes budgétaires.

Dans ce livre blanc, nous étudions l’impact de la maturité de la sécurité sur vos cyberdéfenses et la façon dont CDW peut aider les organisations à améliorer leur posture de sécurité grâce aux solutions de nos partenaires Cisco, Splunk et bien d’autres.

La maturité en termes de sécurité fait référence au niveau de complexité des processus de sécurité d’une organisation. Nous utilisons le modèle maturité en termes de sécurité SANS, qui se définit comme un cadre permettant d’évaluer et d’améliorer la posture de cybersécurité d’une organisation, afin d’illustrer la corrélation avec l’efficacité du SOC. Il évalue les capacités du SOC à différentes étapes de maturité, en se concentrant sur les personnes, les processus et la technologie.

Les organisations peuvent utiliser ce modèle pour évaluer leur niveau de maturité actuel et comprendre comment mettre à niveau leur SOC afin de bénéficier d’une sécurité accrue.

Le modèle décrit cinq étapes de maturité en termes de sécurité, allant des capacités minimales aux opérations avancées et optimisées.

Au fur et à mesure que votre organisation développe ses processus de sécurité, le niveau des capacités proactives de recherche des menaces continue d’augmenter. Cela vous procure une meilleure visibilité des réseaux et des systèmes, ce qui vous permet de réagir aux menaces plus rapidement.

Cependant, les défis liés à la maturation de votre SOC peuvent comprendre le fait d’utiliser les outils et les processus de concert et d’automatiser les processus manuels. C’est là que les solutions de sécurité de CDW, optimisées par les technologies des principaux fournisseurs de sécurité tels que Cisco et Splunk, peuvent vous aider à trouver la solution adaptée à votre SOC, sans augmenter la complexité.

Les opérations de sécurité et de réseau sont au cœur du SOC. Pour faire évoluer ces opérations, les organisations doivent traverser un parcours qui implique de relever les défis actuels, définir les objectifs de transformation et concevoir un futur état pour le SOC.

Ce parcours serait différent pour chaque organisation, mais toutes partagent l’objectif commun d’améliorer et de tirer parti des processus actuels. Nos experts en sécurité peuvent vous éclairer sur une feuille de route systématique de transformation du SOC qui peut aider les organisations à tracer leur parcours efficacement.

Les défis suivants illustrent les difficultés rencontrées par les professionnels de la sécurité qui exploitent quotidiennement un SOC.

1. Surcharge d’alerte

Les équipes du centre des opérations de sécurité (Security Operations Centre (SOC)) sont inondées de milliers d’alertes quotidiennes, dont plusieurs sont de faux positifs. Ce volume élevé crée de la fatigue, ce qui rend difficile pour les analystes de se concentrer sur les véritables menaces. Au fil du temps, les alertes critiques peuvent être ignorées ou entièrement oubliées, ce qui augmente le risque d’atteinte à la sécurité.

2. Outils cloisonnés

Les organisations déploient souvent plusieurs outils de sécurité qui fonctionnent de façon indépendante, créant des données fragmentées et compliquant l’analyse des menaces. Les équipes du SOC doivent établir manuellement une corrélation entre les renseignements obtenus à partir de ces outils, ce qui prend beaucoup de temps et peut entraîner des erreurs. Ce manque d’intégration entrave la détection des menaces en temps réel et ralentit les temps d’intervention.

3. Contraintes de ressources

Les activités du SOC sont souvent tendues à cause d’un manque de personnel qualifié et d’un temps limité pour répondre à la complexité croissante des menaces. Les équipes peuvent avoir de la difficulté à enquêter et à remédier rapidement aux incidents, laissant des lacunes dans les défenses.

4. Flux de travaux inefficaces

Les tâches manuelles et répétitives comme le triage des alertes, la collecte de données et la création de rapports, ralentissent les efforts d’intervention en cas d’incident. Ces inefficacités réduisent la productivité et empêchent les équipes du SOC de se concentrer sur d’autres priorités.

Une fois que vous comprenez quels domaines nécessitent des mises à niveau, votre organisation peut créer des objectifs progressifs pour l’évolution des capacités actuelles et l’introduction de nouvelles capacités. Bien que chaque organisation dispose d’un ensemble unique de critères de transformation, certains objectifs communs peuvent être les suivants :

• Améliorer les capacités de détection : mettre en œuvre des outils de détection avancés, notamment la technologie Extended detection and response (XDR) et des flux de renseignements sur les menaces, afin d’identifier davantage de menaces en moins de temps.
• Optimiser l’intervention en cas d’incident : simplifier les flux de travaux des interventions grâce à l’automatisation, notamment les manuels d’incident et les intégrations à des outils de sécurité, orchestration, automatisation et intervention (Security orchestration, automation and response, SOAR), afin de réduire les temps d’intervention et les erreurs humaines.
• Automatiser les tâches répétitives : réduire le fardeau des analystes en automatisant les processus de détection, de triage et de correction.
• Adopter un modèle à vérification systématique : passer au-delà de la sécurité du périmètre à une architecture à vérification systématique, en s’assurant que tous les utilisateurs et appareils sont continuellement authentifiés et vérifiés.

Pour relever les défis spécifiques d’une organisation, les analystes de la sécurité peuvent effectuer une vérification des TI qui tient compte de leurs états actuels et futurs. Les services de sécurité de CDW offrent une évaluation complète aux organisations qui veulent comprendre la voie à suivre pour leur SOC.

Que vous cherchiez à mettre en œuvre une stratégie d’intervention en cas d’incident mature ou à améliorer les renseignements sur les menaces, les experts en sécurité de CDW travaillent en étroite collaboration avec vos équipes informatiques pour vous aider à améliorer vos capacités. Le tableau suivant montre comment les défis les plus courants en matière de SOC peuvent être comblés, ainsi que l’impact que cela peut avoir sur votre organisation.

Une fois que vous aurez compris comment faire évoluer les opérations de votre SOC, la prochaine étape consistera à faire progresser la technologie sous-jacente. Nos partenaires de Cisco offrent plusieurs solutions de sécurité intuitives qui peuvent renforcer vos capacités de cyberdéfense aux côtés de Splunk, lequel intègre maintenant des analyses avancées dans le parc de sécurité de Cisco.

L’étude canadienne 2024 sur la cybersécurité de CDW a révélé que seulement un tiers des organisations interrogées avaient mis en œuvre des capacités de détection des menaces. Cisco XDR peut aider à combler cet écart en unifiant la détection des menaces et l’intervention à l’échelle de l’infrastructure de l’organisation.

Cette solution Cisco vous aide à améliorer vos capacités de recherche des menaces en consolidant les données de sécurité des terminaux, des réseaux, des environnements en nuage et des applications en un seul écran. Les analystes informatiques peuvent non seulement détecter les menaces avant qu’elles ne causent des dommages, mais ils peuvent également automatiser le processus de correction.

Avantages pour votre SOC

• Visibilité centralisée qui réduit les angles morts de sécurité et améliore la conscience de la situation.
• Des temps d’intervention plus rapides grâce à la corrélation automatique des mesures de sécurité.
• Intervention automatisée en cas d’incident par la mise en œuvre de guides de sécurité pouvant s’attaquer aux menaces en fonction de certaines règles et de certains déclencheurs.
• Modélisation des tactiques de détection et d’intervention selon le cadre MITRE ATT&CK, en assurant l’harmonisation avec les meilleures pratiques de l’industrie.

Afin de favoriser une détection améliorée des menaces, les experts de CDW peuvent vous aider à intégrer Cisco XDR aux solutions partenaires de CrowdStrike, Microsoft Defender et Microsoft Entra. Nous concevons un flux de travail de sécurité intégré qui peut utiliser des mesures de sécurité de ces outils afin d’isoler les menaces plus rapidement et en temps réel. Ces renseignements peuvent ensuite être utilisés pour prendre des mesures correctives, notamment bloquer les logiciels malveillants, désactiver les appareils des utilisateurs ou annuler la liste des adresses IP.

Exemple de scénario : un employé clique sur un courriel d’hameçonnage contenant un rançongiciel

Comment Cisco XDR permet au SOC de détecter et d’atténuer cette attaque :

1. Cisco XDR intègre la télémétrie provenant de diverses sources afin d’identifier les comportements suspects, tels que le chiffrement des fichiers et les processus inhabituels lancés par un clic.
2. Cisco XDR regroupe et met en corrélation les données sur les menaces provenant de plusieurs points afin de créer une vue unifiée des incidents.
3. Un guide automatisé est déclenché pour contenir l’attaque. La solution XDR isole le terminal infecté du réseau, bloque la communication et empêche les mouvements latéraux.
4. La sécurité des courriels est mise à jour afin de bloquer les tentatives d’hameçonnage similaires.

À une époque où le travail à distance et les environnements hybrides sont la norme, Cisco Secure Access habilite les équipes de SOC à appliquer des politiques de sécurité cohérentes dans l’ensemble d’une main-d’œuvre distribuée, assurant ainsi que l’organisation reste protégée sans compromettre la convivialité.

Il facilite la sécurité d’accès en s’assurant que seuls les utilisateurs et les appareils autorisés ont accès aux ressources, peu importe leur emplacement. Les organisations peuvent élaborer leurs propres politiques pour leur environnement de travail hybride et permettre à leurs utilisateurs d’accéder en toute sécurité aux ressources de l’entreprise.

Avantages pour votre SOC

• S’harmonise avec les principes de la vérification systématique et permet la mise en œuvre de politiques de sécurité segmentées.
• Minimise le risque d’accès non autorisé et de mouvement latéral.
• Équilibre sécurité et productivité dans les environnements de travail à distance et hybrides.

Les experts de CDW offrent une approche granulaire permettant de sécuriser l’accès en combinant la puissance des solutions Cisco et Microsoft. Nous pouvons vous aider à mettre en œuvre des carnets de route de type « runbook » destinés au contrôle d’accès. Ceux-ci automatisent le processus d’identification des comportements malveillants et répondent par des actions prédéterminées.

Exemple de scénario : une tentative de connexion à haut risque est détectée par Microsoft Defender.

Les produits Cisco et Microsoft travaillent de concert pour contenir cette menace.

1. Cisco Secure Access évalue la posture de l’appareil et applique la segmentation dynamique.
2. Microsoft Entra applique des politiques d’accès conditionnel nécessitant une authentification multifacteurs (AMF).
3. Cisco XDR met en corrélation la tentative de connexion avec d’autres télémétries (p. ex., anomalies réseau) pour évaluer le contexte de la menace.
4. Si le risque est confirmé, l’accès est refusé et une alerte est envoyée au SOC.

La gestion des informations et des événements de sécurité (GIES) de Splunk recueille et analyse les données d’événements de sécurité de l’ensemble de l’entreprise pour s’assurer de n’avoir négligé aucun détail dans la détection des menaces. Cela permet aux organisations de rester vigilantes face aux cyberattaques potentielles et d’utiliser les capacités SOAR pour s’attaquer automatiquement aux menaces entrantes.

Les capacités GIES et SOAR aident votre organisation à mettre en œuvre des mesures de sécurité proactives et à garder une longueur d’avance sur les cyberattaques. Splunk recueille des données de sécurité à partir d’un large éventail de sources afin d’aider les équipes du SOC à identifier les événements malveillants avant qu’ils ne causent de dommages.

Ensemble, Cisco et Splunk améliorent l’observabilité en offrant des perspectives larges et approfondies. La solution Extended detection and response (XDR) tire parti des données de sécurité de Splunk, ce qui aide les équipes de sécurité à couvrir tous les aspects de leur infrastructure IT.

Cette collaboration profite au SOC grâce à plusieurs capacités améliorées telles que :

• Sécurité accrue à l’échelle : repérer les menaces de manière proactive et réagir aux menaces potentielles plus rapidement, renforçant ainsi votre posture de sécurité.
• Amélioration de la résilience du réseau : le réseautage intelligent permet d’optimiser la performance du réseau chaque fois que des goulots d’étranglement surviennent et de signaler les menaces si une activité inhabituelle est découverte.
• Observabilité plus approfondie : trouver et isoler les menaces sur les sites et les réseaux en nuage grâce aux capacités d’observation améliorées de la gestion des informations et des événements de sécurité (GIES) de Splunk.
• Sécurité automatisée grâce à l’IA : les capacités de l’IA plus récentes permettent aux solutions Cisco et Splunk de réduire le fardeau manuel sur votre SOC, grâce à des fonctions de sécurité automatisées

Lorsqu’il est intégré, Splunk peut ingérer la télémétrie de Cisco XDR, offrant ainsi une analyse détaillée et une corrélation avec d’autres sources de données. Cela permet aux équipes du SOC d’obtenir à la fois une visibilité de haut niveau et des informations approfondies, assurant une prise de décision plus éclairée.

CDW travaille en tant que partenaire stratégique dans votre parcours de sécurité afin de vous aider à lutter contre les défis qui ont trait à la technologie et aux talents. Que vous construisiez une pratique de sécurité dans votre organisation ou que vous ayez un SOC bien établi, nos experts vous guideront de près sur la meilleure façon d’aller de l’avant.

Les solutions de sécurité et de réseau de CDW sont conçues pour simplifier les opérations, améliorer les postures de sécurité et réduire les temps d’intervention grâce à un ensemble de technologie avancée, de services d’experts et d’intégration transparente.

L'offre de sécurité de CDW repose sur trois piliers de base.

Les services à valeur ajoutée de CDW

• Formation et habilitation : CDW offre des ateliers et des séances de formation afin d’aider les équipes TI à tirer parti efficacement des outils Extended detection and response (XDR), gestion des informations et des événements de sécurité (GIES) et Sécurité, orchestration, automatisation et intervention (Security orchestration, automation and response, SOAR).
• Services de sécurité gérée : CDW offre la surveillance, la recherche de menaces et l’intervention en cas d’incident 24 h/24, 7 j/7 pour ainsi accroître les capacités internes.
• Orientation stratégique : les consultants en cybersécurité de CDW guident les organisations à travers la conformité aux réglementations et les meilleures pratiques de l’industrie.

En simplifiant les opérations de sécurité, CDW permet aux organisations de passer d'une gestion réactive à une gestion proactive de la sécurité tout en optimisant les coûts et en libérant des ressources internes pour se concentrer sur les initiatives stratégiques.