Comment une solution SIEM épaulée par l’intelligence artificielle aide à débusquer les cybermenaces les plus dangereuses.

Aujourd’hui, votre organisation est confrontée à des risques sérieux. Elle doit lutter contre des piratages furtifs, des vulnérabilités critiques, des menaces internes ou du vol de données confidentielles. Ces menaces mettent sous tension des équipes de sécurité souvent restreintes, les spécialistes compétents étant une denrée rare. 

Pourtant, toutes les données sont disponibles pour révéler ces menaces. Encore faut-il que les entreprises outillent leurs spécialistes pour faire parler ces données, afin de détecter les attaques qui auraient un impact majeur sur leurs activités.

Le manque de visibilité sur les menaces

Chaque jour, les analystes en sécurité reçoivent un nombre phénoménal d’alertes, provenant le plus souvent de solutions de surveillance disparates, déployées au cœur de l’environnement informatique. Ces alertes sont-elles pertinentes? Lesquelles prendre au sérieux?

Or, il est humainement impossible de traiter ce flux continu d’informations pour repérer les menaces les plus sérieuses. La conséquence? Selon une étude récente menée par Cisco, 44% des alertes ne sont pas examinées et 54% des alertes légitimes ne sont pas résolues. Cette incapacité à analyser correctement l’ensemble des données est un handicap considérable: il représente le plus grand défi des professionnels en cybersécurité.

Les équipes doivent obtenir une vision plus claire sur ce qui mérite d’être analysé. Une solution Gestion de l’information et des événements de sécurité (Security Information and Event Management ou SIEM en anglais) permet de leur donner cette visibilité. Comment? En centralisant, traitant et corrélant les données de flux de journaux et de réseau pour traquer les menaces qui seront ensuite hiérarchisées en fonction de leur importance.

Néanmoins, toutes les solutions de surveillance disponibles sur le marché ne se valent pas. Tous les fournisseurs ne définissent pas de la même façon ce qu’est un SIEM. Le périmètre d’investigation et les fonctionnalités d’analyse sont également très variables d’un système à l’autre. Une des solutions que NOVIPRO recommande est IBM QRadar Advisor with Watson.

Comment assurer une surveillance efficace?

Selon une étude récente, une équipe de sécurité utiliserait en moyenne 84 produits différents. Le temps qu’elle passe à gérer ces outils diminue drastiquement le temps passé à sécuriser l’environnement. Pour être performante, une solution SIEM doit donc impérativement centraliser la surveillance des données des flux de journaux et de réseau de l’ensemble de l’organisation. Qu’elles proviennent des terminaux, d’équipement réseau, d’un environnement infonuagique ou d’un lac de données, toutes doivent converger dans un seul et même outil pour offrir aux analystes une vue globale de l’état des systèmes d’information.

Ensuite, pour faciliter le tri des alertes, cette solution de surveillance unique doit être automatisée. En paramétrant des règles d’analytique intelligente dans le traitement des données, le SIEM peut établir des corrélations entre les différents événements et les consolider en un incident potentiel, réduisant ainsi le nombre d’alertes à examiner. Lorsque l’analytique rend possible la création de vues graphiques contenant des informations exploitables et priorisées, les équipes peuvent prendre des décisions rapides et éclairées.

La centralisation et l’automatisation d’une solution de surveillance génèrent des gains de temps considérables. Ces gains permettent aux équipes de passer d’un mode réactif (résolution d’incident) à un mode proactif de chasse permanente aux menaces. Aujourd’hui, selon M-Trends 2018, le délai moyen de détection d’une attaque est de 101 jours. Une solution de surveillance efficace diminue votre vulnérabilité et vous donne les moyens d’intervenir plus rapidement.

Faciliter la résolution d’incidents par l’intelligence artificielle

Lorsqu’une alerte survient, l’analyste fait appel à sa connaissance du système et fouille à travers les nombreuses sources d’informations à sa disposition (blogues, sites web, articles de recherche). Son objectif? Circonscrire l’incident et transmettre des indications précises aux équipes de remédiation concernées. 

Ce processus fastidieux peut être considérablement écourté grâce à l’intelligence artificielle (IA). Analysant simultanément des données structurées et non structurées, l’IA contextualise la menace et fournit des pistes de solutions aux équipes qui peuvent ainsi corriger le problème plus rapidement.

L’intelligence artificielle ne concurrence pas l’intervention humaine. Elle tire ses capacités de la qualité des données qui l’alimentent et doit être appuyée par l’expertise d’un spécialiste. Un partenariat serré entre équipes et technologie permet ainsi d’améliorer le savoir et les façons de faire afin de stopper les attaques et de réduire la durée des intrusions.

IBM QRadar Advisor with Watson

Conçue pour faciliter le travail de vos équipes de sécurité, la plateforme IBM QRadar Advisor with Watson combine les fonctionnalités d’un SIEM, une analytique de pointe et les capacités cognitives de l’IA. Avec une efficacité constatable dès la semaine qui suit son installation, IBM QRadar Advisor with Watson vous offre la certitude que l’ensemble de vos activités informatiques est surveillé, et que seules les menaces qui vous importent seront traitées, et ce, dans des délais raccourcis.

Informez-vous sur cette solution auprès d’un conseiller NOVIPRO.