En effet, si la plupart des entreprises s’intéressent à l’automatisation, rares sont celles qui ont accompli des progrès considérables, notamment parce qu’elles ont besoin de mieux comprendre l’automatisation, de se faire davantage aider par les fournisseurs et de consolider leurs bases informatiques.

L’expérience actuelle de l’automatisation de la cybersécurité

Des entreprises se sont accordées à dire que l’avenir de la cybersécurité réside dans l’automatisation et qu’il est dans leur intérêt de l’adopter. Étonnamment, une majorité affirme utiliser des systèmes automatisés de détection des intrusions (IDS), mais ces organisations éprouvent des difficultés à adopter un système de prévention des intrusions (IPS) par crainte que des faux positifs provoquent inutilement la mise à l’arrêt de leurs activités, elles ont peur que l’automatisation du blocage ne mette le chaos.
L’utilisation actuelle de l’automatisation est décrite comme frustrante. Si un moteur automatisé est tout à fait capable de détecter un problème, il n’est pas en mesure de l’identifier.
Dans ce cas, le système de détection peut apparaître comme un problème plutôt qu’une solution. Si une plateforme enregistre six milliards de points de données chaque mois, parmi eux, 1 000 doivent être analysés manuellement, dont deux seulement constituent probablement des menaces réelles, mais quelqu’un doit tout de même être chargé de l’analyse de ces 1 000 alertes. Le facteur humain existe toujours, malgré les processus automatisés de détection des intrusions.

Comment les entreprises mesurent-elles la réussite de l’automatisation ?

Le temps et l’argent consacrés à l’automatisation sont considérés comme des mesures clés de la réussite. Certains mesurent la réussite en déterminant dans quel délai ils peuvent neutraliser une attaque à compter de sa détection et en s’assurant qu’elle ne se propage pas. Les processus automatisés de réponse aux menaces permettent non seulement d’économiser de l’argent, mais aussi du temps. Par conséquent, le fait que les entreprises parviennent à réagir plus rapidement que les cybercriminels a été établi comme une mesure clé de la réussite.

D’autres considèrent comme une réussite le simple fait que le système de l’entreprise fonctionne toujours le lendemain d’une attaque. Le but n’est pas de neutraliser tous les dangers, mais de s’assurer que la menace pour l’entreprise est grandement réduite. L’absence de faux positifs peut en être un indicateur. Elle est également perçue comme une mesure de la réussite dans certaines entreprises.

L’automatisation de la cybersécurité est particulièrement complexe en raison de la grande diversité de mesures de la réussite. L’automatisation d’un processus industriel peut s’avérer plus simple, car elle peut être mesurée par une amélioration en termes de vitesse, de résultat ou de tout autre indicateur. En règle générale, la mesure ultime de la réussite est l’absence d’incident grave.

De quelles bases les entreprises ont-elles besoin pour créer un environnement adapté à l’automatisation ?

D’après l’étude*, 41 % des entreprises déclarent qu’un manque de confiance dans les résultats de l’automatisation empêche son déploiement. Une formation supplémentaire au sein des entreprises est nécessaire pour faire comprendre au personnel qu’une défense efficace peut affecter les activités quotidiennes.

L’automatisation peut être perçue comme une charge supplémentaire pour les équipes de sécurité. Malheureusement, en raison de la nature même de la cybersécurité, les problèmes sont toujours visibles quand ils se produisent, ce qui ajoute peut-être à la méfiance qui entoure l’automatisation, malgré le fait que l’identification des problèmes soit un avantage.

En outre, de nombreuses entreprises ne disposent pas de l’infrastructure informatique nécessaire pour procéder à une transition fluide vers l’automatisation. En effet, les systèmes disparates et les outils d’ancienne génération peuvent entraver les efforts d’automatisation. Certains ont affirmé que les systèmes de leur entreprise ne sont même pas encore capables d’automatiser la réinitialisation des mots de passe. D’autres ont fait état d’un problème plus culturel, avec des collaborateurs souvent méfiants à l’égard des nouveaux systèmes. Dans certaines entreprises, le personnel s’agace si les outils de sécurité perturbent son flux de travail.

Que doit-il se passer pour améliorer les efforts d’automatisation dans le
secteur ?

Les mesures couramment utilisées dans le secteur de la cybersécurité ont fait l’objet de nombreux échanges. Les délais moyens de détection et d’intervention sont considérés comme peu utiles, car il n’y a pas de grande différence entre les deux. Par ailleurs, il peut être complexe de déterminer quand commencer à mesurer ces deux délais.
De l’avis général, les mesures de qualité médiocres se heurtent à l’indifférence du conseil d’administration. Les entreprises privilégient toujours une mesure qui suit la portée de la couverture et la réussite, bien qu’elles reconnaissent qu’il est difficile d’identifier les points de données à utiliser pour mesurer ces éléments.

Le besoin d’aide accrue de la part des fournisseurs est indispensable. Il est utile de connaître les difficultés que rencontrent les fournisseurs avec l’automatisation. Une telle honnêteté et une telle transparence peuvent favoriser l’établissement de nouveaux partenariats fructueux entre les fournisseurs et les entreprises.

De manière générale, il reste encore beaucoup de travail à accomplir pour améliorer la transition vers l’automatisation dans le secteur de la cybersécurité. Un changement culturel est nécessaire pour que l’automatisation soit adoptée par le plus grand nombre. Une formation supplémentaire s’avère indispensable, ainsi qu’une compréhension globale de ce qui constitue une réussite.
Les fournisseurs doivent s’assurer de la mise en place de ces mesures et renforcer la confiance dont les entreprises ont besoin pour rendre cette transition aussi fluide que possible. Les fournisseurs doivent tout mettre en œuvre pour établir les partenariats nécessaires afin d’identifier, d’améliorer et de rechercher des mesures éprouvées pour favoriser l’automatisation.

*Étude ThreatQuotient, State of CyberSecurity Automation Adoption in 2021