Les plateformes de données cloud permettent l’unification des données multiples

La croissance de l’usage du cloud et des objets connectés, conjuguée à la généralisation du travail à distance, n’a fait qu’augmenter le volume, la variété et la complexité des données de sécurité. Il se trouve que les outils de sécurité traditionnels fonctionnent en grande partie sur les données internes de l’entreprise. Or, même si les organisations sont équipées de solutions conçues pour consolider les logs de plusieurs sources, les silos sont inévitables. En effet, le plus souvent, le coût de l’ingestion et de la conservation complètes de ces données est prohibitif. Un état de fait qui ne fait que compliquer la tâche des équipes de sécurité, déjà débordées, et qui explique pourquoi elles peinent à obtenir les résultats nécessaires en matière de prévention, de détection et de réponse.

Heureusement, les progrès réalisés en matière de plateformes de données cloud rendent la consolidation des données à grande échelle bien plus facile et plus rentable. Conscientes du potentiel de ces solutions, nombre d’équipes de sécurité ont transformé la plateforme de données centrale de leur entreprise en un lieu regroupant l’ensemble des données de sécurité, quelle que soit leur taille. Cette approche permet d’unifier des data logs qui se comptent souvent en téraoctets ou en pétaoctets, et qui proviennent de sources multiples, telles que les pare-feu, les agents de points d’extrémité et l’infrastructure cloud.

Les données se transforment en informations utiles

Au-delà du stockage, les plateformes de données modernes intègrent des langages comme SQL et Python qui permettent une analyse rapide, transformant les données unifiées en informations exploitables, de manière quasi-instantanée. En conséquence, les faux positifs sont de moins en moins nombreux, ce qui engendre un gain de temps. Finies les enquêtes manuelles, lentes et sujettes aux erreurs concernant les violations potentielles. Un cycle vertueux est enclenché : les équipes de sécurité peuvent facilement ajouter de nouveaux ensembles de données provenant du département informatique et du reste de l’entreprise. Cerise sur le gâteau, celles-ci contribuent à fournir davantage de contexte, ce qui réduit encore les faux positifs et la charge de travail.

Les data lake de sécurité, tels qu’ils sont mis en œuvre sur les plateformes cloud modernes, sont tout à fait adaptés à l’utilisation du Machine Learning et de tout autre outil d’analyse avancée. Les données de sécurité étant hébergées sur la principale plateforme cloud d’une organisation, les équipes de sécurité et d’analytique peuvent travailler côte à côte. Ensemble, ils sont à même de résoudre les problèmes et élaborer des solutions. Il leur suffit d’appliquer les dernières techniques, afin de mieux détecter les anomalies et automatiser les processus. De cette façon, le directeur de la sécurité s’aligne pleinement sur la direction informatique, en travaillant à partir de la même pile de données avancées. Les avantages de cette approche ne se limitent pas à la détection des menaces. Lorsque les données sont consolidées, partagées et accessibles, la gestion des risques, de la conformité, des identités, des accès et des vulnérabilités est, elle aussi, facilitée. Autre point fort, l’utilisation des outils de BI existants permet de générer des rapports montrant aux dirigeants la manière dont la cyber posture s’améliore. Ces documents peuvent également être utilisés pour encourager les parties prenantes d’autres départements à agir.

L’avenir de la cybersécurité repose dans les data lake

Les fournisseurs de sécurité innovants ont bien compris tous ces avantages. C’est la raison pour laquelle ils apportent leur soutien aux équipes de sécurité dont les données résident sur la plateforme de données de l’entreprise. Par exemple, Hunters, Panther Labs et Securonix proposent désormais des solutions de cybersécurité qui se branchent sur le data lake de sécurité du client, dans le cadre d’un modèle dit « d’application connectée". Celui-ci deviendra fort probablement la norme pour les solutions de sécurité et les plateformes qui partagent une approche ouverte et axée sur les données.

Pour inverser le cours de la bataille contre les cybercriminels, l’unification des données de sécurité et le maintien de leur disponibilité sans limites sont essentiels. Comme l’a montré le piratage de SolarWinds, les intervenants doivent être équipés de manière à pouvoir enquêter en remontant plus d’un an en arrière. D’ailleurs, en réponse à ce piratage et à d’autres violations, le gouvernement américain a déclaré qu’il exigerait des agences fédérales qu’elles étendent la conservation des événements et qu’elles déploient des analyses de comportement susceptibles d’aider à atténuer les cyberattaques à venir. Cette norme devrait s’appliquer à toutes les organisations soucieuses de sécurité.

Les data lake de sécurité basés sur le cloud semblent ainsi être un atout efficace et rentable face à l’augmentation des besoins dans le traitement des données de sécurité. De ce fait, des analyses sophistiquées peuvent être appliquées à des volumes de données en constante augmentation. Face aux actions prises par les entreprises pour leur sécurité informatique, ces plateformes semblent s’imposer.