Il ne faut pas chercher bien loin dans les médias pour comprendre que les experts envisagent 2022 comme l’année de l’automatisation. Face à l’aggravation de la pénurie des compétences technologiques et au phénomène de grande démission post-pandémique qui a poussé des professionnels informatiques surmenés à envisager un changement de carrière, une chose est claire : si nous manquons de ressources humaines pour colmater les brèches, l’automatisation doit au moins faire partie de la solution.
L’automatisation de la cybersécurité deviendra indispensable pour libérer les employés qualifiés de toutes ces tâches routinières et répétitives, et ainsi créer des entreprises plus sécurisées et des emplois plus attrayants pour les professionnels de la cybersécurité. Dans le contexte actuel, l’automatisation est essentielle pour renforcer la sécurité d’une entreprise, même si son implémentation comporte quelques défis majeurs. Pour l’étude State of Cybersecurity Automation Adoption des responsables de la cybersécurité ont été interrogés pour connaître les défis auxquels ils étaient confrontés, mais aussi savoir ce qu’ils pensaient de l’automatisation et quels étaient leurs projets pour l’implémenter dans l’année à venir. Cette étude révèle qu’il existe un réel besoin de mieux comprendre le potentiel de l’automatisation de la part des équipes de direction.
Une perception différente de l’importance de l’automatisation selon les rôles
Il ressort de l’étude qu’en dépit d’une reconnaissance assez généralisée de la valeur de l’automatisation de la sécurité informatique, les opinions divergent selon le rôle du répondant. 94 % des responsables de l’architecture des solutions de sécurité informatique considèrent l’automatisation de la sécurité importante pour leur entreprise et 33 % d’entre eux la jugent très importante. Les responsables d’équipes de réponse à incident sont plus enclins à dire que l’automatisation est très importante (37,5 %) ou relativement importante (50 %). En revanche, les RSSI accordent moins d’importance à l’automatisation, puisque seuls 28 % d’entre eux la considèrent très importante.
Ces écarts révèlent une sensibilisation variable à la situation actuelle au sein des équipes de sécurité et au rôle joué par l’automatisation dans l’optimisation des processus. Les équipes de réponse à incident sont en première ligne et de ce fait donnent la priorité aux outils qui allègent leur charge de travail, tandis que les architectes en solutions de sécurité privilégient les outils qui réduisent la pression sur les équipes tout en améliorant la couverture. S’il s’agit incontestablement de facteurs clés pour les RSSI, ces derniers sont probablement moins conscients des améliorations rapides apportées par l’automatisation de la sécurité.
Ce qui motive la demande d’une automatisation accrue de la sécurité informatique
Pour les trois rôles, parmi les trois principaux facteurs favorisant l’adoption de l’automatisation de la sécurité, c’est l’accroissement de la productivité qui constitue le principal avantage. Cela s’explique par l’importante charge de travail des départements de sécurité et le besoin constant d’en faire plus avec moins grâce à une productivité accrue des membres de l’équipe.
Pour les architectes en solutions, la pénurie de compétences est un facteur clé de l’automatisation, mais les répondants, toutes catégories confondues, reconnaissent également qu’un manque de compétences représente un obstacle majeur à l’implémentation de l’automatisation de la sécurité. On se retrouve face au paradoxe de l’œuf et de la poule, où les entreprises souhaitent résoudre la pénurie de compétences, mais en sont incapables car elles manquent des compétences requises. Pour les fournisseurs de solutions d’automatisation, cela souligne la nécessité d’offrir des solutions faciles à déployer, d’intégrer des outils et des données déjà utilisés par l’entreprise et d’offrir un retour sur investissement rapide.
En ce qui concerne les fonctions d’automatisation spécifiques recherchées par les répondants, le clivage est évident. À la différence des RSSI, un nombre accru de responsables de la réponse à incident jugent essentielles les actions atomiques intervenant au sein d’un système, par exemple la création automatique de tickets. Une telle opinion souligne la nature réactive, urgente et critique de la réponse à incident : les outils ne doivent pas seulement détecter les menaces, mais aussi donner le plus rapidement possible des solutions pour les neutraliser.
En réalité, les responsables de la réponse à incident ne sont pas tout à fait prêts à abandonner totalement le contrôle. Lorsqu’on les interroge sur la valeur d’un workflow partiellement automatisé qui met à jour plusieurs systèmes et produits mais implique une intervention humaine pour déclencher ou approuver les actions effectuées, plus d’un quart des responsables de la réponse à incident estiment que c’est très important, à la différence des RSSI (seulement 13 %) et des architectes en solutions de sécurité (20 %). Il est clair que les équipes de réponse à incident souhaitent bénéficier d’une visibilité sur les processus automatisés et contrôler les actions mises en œuvre, tandis que les RSSI et les architectes en solutions sont moins préoccupés par leur propre implication.
Facteurs de réussite et obstacles à l’automatisation de la sécurité
Pour les responsables de la sécurité des systèmes d’information, le facteur déterminant du succès du déploiement de l’automatisation de la sécurité est la mise en place de processus manuels bien définis. C’est assez logique dans le sens où les RSSI analysent la situation actuelle avant de faire des projections. Par conséquent, il est important pour eux de bien comprendre le processus qu’ils cherchent à automatiser. Toutefois, les RSSI ne devraient pas limiter leurs objectifs d’automatisation à une simple réplication d’un processus manuel détaillé. Un projet d’automatisation de la sécurité offre une opportunité unique d’intégrer d’autres sources de cyberveille pour contextualiser les données et les alertes et ainsi améliorer l’efficacité du processus manuel initial. Cet aspect est très bien compris des responsables de la réponse à incident puisqu’ils considèrent l’intégration des technologies des fournisseurs comme le premier facteur de réussite.
En ce qui concerne les obstacles à l’automatisation de la sécurité, les RSSI estiment que la compréhension de la direction et l’obtention de son aval constituent le problème majeur. Il semble donc qu’une meilleure communication des avantages stratégiques du projet est indispensable pour obtenir l’approbation de l’équipe de direction. Les responsables de la réponse incident sont conscients de la pénurie de compétences. Plus de la moitié d’entre eux estiment en effet qu’un manque de compétences appropriées les empêche de mettre en place l’automatisation de la sécurité. Toutefois, le manque de compétences est aussi à l’origine du besoin d’automatisation : 43 % des architectes en solutions déclarent que c’est la raison pour laquelle une automatisation accrue est nécessaire.
Manque de confiance dans les résultats
Curieusement, l’étude révèle aussi qu’en dépit du consensus quant à l’importance de l’automatisation de la sécurité informatique, il existe aussi un manque de confiance dans les résultats produits par les processus automatisés. Les trois rôles déclarent avoir été confrontés à ce problème lors de l’implémentation de l’automatisation. C’est assez comparable au problème de la boîte noire rencontré dans le domaine de l’intelligence artificielle, où les humains sont plus enclins à se méfier des recommandations en raison du manque de visibilité. Les fournisseurs de solutions d’automatisation de la sécurité doivent en tenir compte et veiller à ce que leurs solutions offrent le niveau adéquat de transparence et de contrôle sur les alertes et l’application des règles pour favoriser la confiance. En outre, il ne fait aucun doute qu’à mesure que les solutions feront leurs preuves, elles gagneront la confiance des utilisateurs.
L’étude montre qu’il reste encore beaucoup à faire pour bien faire comprendre la valeur de l’automatisation de la sécurité informatique à tous les niveaux de l’entreprise. Un meilleur alignement des différents éléments des équipes de sécurité informatique est indispensable, et une bonne communication des équipes de réponse à incident, des architectes en solution avec l’équipe de direction contribuera à définir les priorités de façon plus précise.
Pour sa part, l’équipe de direction doit prendre conscience de l’impact rapide de l’automatisation de la sécurité sur le niveau de sécurité de l’entreprise. Par ailleurs, les mentalités doivent changer et ne plus considérer les projets d’automatisation comme la simple réplication de processus existants, mais reconnaître les possibilités de transformation offertes par les mesures correctives et l’ajout d’informations contextuelles