Accueil > Technologies numériques > Cybersécurité > Automatisation de la cybersécurité : quelles attentes, quelles limites ?

Automatisation de la cybersécurité : quelles attentes, quelles limites ?

Publié le 8 septembre 2023
Partagez cette page :

Améliorer la productivité des analystes cyber en les délestant de tâches répétitives et chronophages : voilà la principale promesse de l’automatisation. Au-delà de cette quête de productivité, l’automatisation est-elle une réponse possible à la pénurie de talents ? Quelles en sont les limites ?

Automatisation de la cybersécurité

L’automatisation est devenue une arme à double tranchant. D’un côté, les cybercriminels l’exploitent pour mener des cyberattaques de plus en plus fréquentes et élaborées. De l’autre, les équipes de sécurité opérationnelle (SecOps) se voient contraintes d’y recourir pour contrer ces menaces. Parallèlement, l’automatisation apparaît également comme une réponse à la rareté des experts en cybersécurité. Cependant, au-delà de ses avantages apparents, quelles en sont ses véritables contraintes et limites ?

L’automatisation en cybersécurité : enjeux et promesses

Qu’est-ce que l’automatisation en sécurité opérationnelle ?

L’automatisation en cybersécurité consiste à « industrialiser » certaines tâches réalisées par les analystes cyber et les équipes SecOps. L’objectif est d’optimiser la détection des menaces et d’y répondre plus rapidement. Elle s’inscrit donc dans une stratégie à la fois préventive et proactive.

Pourquoi automatiser la cybersécurité ?

Au quotidien, les analystes cyber font face à des défis constants :

  • Analyser et traiter un volume d’informations toujours plus grand.
  • Prendre des décisions concernant les actions à mener.
  • Effectuer ces opérations dans un délai (très) serré et réduire les temps de réponse aux incidents.

Face à ces contraintes, l’automatisation et l’intelligence artificielle procurent une réponse efficace. Elles répondent aux attentes croissantes des organisations en matière de réduction du temps de réaction et de pertinence des alertes. Le but est notamment de réduire les faux positifs.

Alors que le périmètre des actifs à protéger s’élargit, le vivier d’experts disponibles pour s’en occuper demeure toujours aussi rare. Dit autrement, l’automatisation améliore la productivité des analystes cyber tout en réduisant le risque d’épuisement professionnel ou de « cyberfatigue ».

Quelles sont les tâches automatisables ?

Les principaux cas d’usage de l’automatisation en sécurité opérationnelle sont :

  • la détection et la réponse automatisées aux menaces. Cela consiste à identifier rapidement les activités suspectes ou malveillantes et y répondre de manière autonome, souvent en temps réel.  
  • la détection automatisée d’anomalies dans la circulation des données. L’analyse des flux de données peut révéler des comportements anormaux ou des modèles de trafic inattendus. Ces anomalies, une fois identifiées, peuvent être le signe d’activités malveillantes ou de compromissions.
  • l’automatisation de la Cyber Threat Intelligence (CTI), la collecte et l’analyse de données sur les cybermenaces. Son automatisation permet d’enrichir le profilage des menaces, d’obtenir une vision claire des tactiques des cyberattaquants, d’adapter les mesures de sécurité existantes (bloquer des ports, par exemple) et d’orienter les décisions à prendre.  

L’essor de l’automatisation au sein des solutions de détection et de réponse aux incidents

L’évolution des outils de détection et de réponse aux incidents illustre bien une intégration croissante de l’automatisation dans les processus de sécurité opérationnelle. Parmi ces outils, nous comptons :

  • EPP (Endpoint Protection Plateform) pour protéger les terminaux. Il s’agit généralement d’une évolution des antivirus traditionnels pour offrir une protection plus complète.
  • UEBA (User and Entity Behavior Analytics) qui identifie les activités suspectes en se basant sur le comportement des utilisateurs et des entités au sein d’une organisation.
  • SIEM (Security Information and Event Management). Cette solution centralisée collecte, stocke, analyse et visualise les journaux et événements de sécurité en temps réel ou historiques, pour offrir une vue d’ensemble des menaces potentielles et des incidents.
  • EDR (Endpoint Detection and Response). Cette plateforme identifie répond aux menaces potentielles sur les terminaux. Elle offre des capacités avancées d’analyse et d’intervention.
  • XDR (Extended Detection and Response). Cette évolution de l’EDR étend la détection et la réponse au-delà des simples terminaux pour inclure d’autres sources de données, comme les réseaux ou les serveurs.
  • SOAR (Security Orchestration, Automation and Response). Cette solutioncombine la collecte de données, la réponse automatisée et l’orchestration pour améliorer l’efficacité des opérations de sécurité.

Les traditionnels antivirus installés sur les postes de travail ne peuvent plus, à eux seuls, contrer les menaces actuelles comme WormGPT ou les attaques par évasion. D’autant que certaines de ces attaques s’appuient sur l’intelligence artificielle. Cette réalité pousse les professionnels de la cybersécurité à intégrer non seulement l’automatisation, mais également l’IA au sein de leur arsenal défensif.  Ces nouveaux types d’attaques les contraignent également à se former continuellement pour faire évoluer leurs pratiques.

Par sa capacité à traiter d’énormes volumes de données, l’IA peut analyser, prioriser et répondre aux menaces avec une rapidité sans précédent. Elle est aussi un atout précieux pour établir des scénarios de réponses automatisées, souvent désignées sous le terme de playbooks.

Où en sont les entreprises en matière d’automatisation de leur cybersécurité ?

Selon une étude récente portant sur l’adoption de l’automatisation en cybersécurité réalisée par l’entreprise de cybersécurité ThreatQuotient en 2022, l’automatisation prend de l’ampleur. En effet, le niveau de confiance que lui portent les entreprises ainsi que le budget qu’elles lui allouent sont en augmentation significative. En 2022, 84 % des entreprises interrogées font confiance à l’automatisation, alors qu’elles n’étaient que 59 % en 2021. De ce panel, composé de 750 professionnels de la sécurité basés au Royaume-Uni, aux États-Unis et en Australie, 98 % indiquent que leur budget alloué à l’automatisation est en hausse. Les projets en cours concernent en premier lieu l’automatisation de la Cyber Threat Intelligence et la réponse aux incidents.

L’étude révèle également que la plupart des entreprises n’en sont qu’au stade initial de leur adoption de l’automatisation. Interrogées sur leur niveau actuel, 63 % estiment se situer au niveau 2 ou 3, sur une échelle où 5 représente le niveau de maturité maximal. Cela montre que l’automatisation peut encore progresser. D’ailleurs, au cours de ce processus, les entreprises se confrontent à des questions très concrètes : comment déployer l’automatisation au sein d’environnements hétérogènes ? Comment l’intégrer à des outils existants ? Comment s’assurer que les solutions d’automatisation restent à jour face à l’évolution constante des menaces ? Et que faire pour garantir que l’automatisation n’entraîne pas de risques supplémentaires en matière de protection des données ou de respect de la vie privée ?…

Quelle place pour l’humain face à l’automatisation ?

L’automatisation, un levier de performance, pas un remplacement de talents ?

Bien que l’IA et l’automatisation soient aujourd’hui largement déployées pour améliorer la productivité d’équipes submergées par un volume croissant d’événements à analyser, elles ne constituent pas à proprement parler une réponse à la pénurie de talents en cybersécurité. Leur principal intérêt réside plutôt dans leur capacité à « améliorer l’environnement de travail des analystes », comme le souligne IBM dans son rapport « L’IA et l’automatisation au service de la cybersécurité » de juin 2022.

Grâce à l’automatisation, les analystes gagnent en précision et concentrent leurs efforts sur les menaces nécessitant une analyse plus approfondie. Cela permet non seulement d’améliorer la phase d’investigation sur les menaces les plus critiques et de gagner en productivité, mais aussi de valoriser leur expertise en se consacrant à des tâches à plus forte valeur ajoutée.

Sans experts, pas d’automatisation réussie

La mise en place de modèles ou de scénarios automatisés nécessite l’intervention d’experts pour une configuration adaptée aux menaces et aux spécificités organisationnelles propres à chaque entreprise.

Face à l’essor de l’automatisation, les professionnels de la cybersécurité doivent non seulement trouver une nouvelle place, mais également s’investir dans une formation continue. Une répartition des tâches entre l’homme et la machine se dessine déjà. Si les actions de détection et de réponse à incident gagnent à être automatisées, certains experts considèrent que les actions de remédiation (destinées à limiter l’impact d’un risque ou d’un incident) doivent continuer à être pilotées par l’humain. En fin de compte, pour être réellement efficace, l’automatisation doit étroitement être associée à l’expertise humaine.

Quels sont les freins et limites à l’automatisation ?

Si l’automatisation est prometteuse pour alléger les tâches des analystes cyber et des équipes opérationnelles, elle n’a pourtant rien de simple. Dans la pratique, plusieurs défis peuvent entraver son intégration comme le manque de connaissance précise du périmètre à protéger, notamment si l’entreprise ne dispose pas d’une cartographie à jour de son système d’information. L’hétérogénéité et la complexité des systèmes et matériels à analyser en est un autre. Ou encore les silos organisationnels entre les différentes équipes et les différents métiers peuvent également entraver une mise en œuvre efficace.

De plus, l’efficacité de l’automatisation est étroitement liée au niveau de maturité de l’organisation en matière de cybersécurité. Une intégration réussie de l’automatisation nécessite des processus opérationnels bien documentés par… des experts.

Sur le plan technique, l’automatisation rencontre plusieurs challenges :

  • Intégrité des données : le manque de données contextuelles complètes et à jour, comme le montre la limite de MITRE ATT&ACK®,
  • Gestion de la complexité : la nécessité de traiter les actions complexes et les étapes requérant des validations humaines.
  • Scalabilité : l’extension de l’automatisation à grande échelle peut présenter des défis.
  • Orchestration à distance : la complexité de l’orchestration à distance des solutions sur site.

Au final

Ni magique et encore moins toute-puissante, l’automatisation suscite néanmoins de grandes attentes en matière de productivité, et son adoption par les entreprises s’accélère. Cependant, pour être pleinement efficace, elle doit prendre place dans des organisations où les projets de cybersécurité sont déjà bien établis. Loin de remplacer les analystes en cybersécurité, elle les invite au contraire à déployer leur expertise là où elle sera la plus utile et à développer en permanence de nouvelles compétences. Quel est l’avenir de l’automatisation ? L’hyperautomatisation pointe déjà le bout de son nez. L’utilisation d’algorithmes d’apprentissage automatique, qui peuvent créer par eux-mêmes des modèles d’automatisation et prendre des décisions, témoigne de l’évolution rapide vers une cybersécurité encore plus automatisée.

Notre expert

La rédaction d'ORSYS

Composée de journalistes spécialisés en IT, management et développement personnel, la rédaction d’ORSYS Le mag […]

domaine de formation

formations associées