Pour ceux qui travaillent dans le domaine de la sécurité de l’information, comme dans un centre d’opérations de sécurité (SOC), la nature répétitive du travail peut également entraîner un épuisement professionnel. Cela est non seulement préjudiciable pour eux-mêmes, mais aussi pour l’organisation pour laquelle ils travaillent.
Le travail de sécurité peut également entraîner une surcharge de travail.
Essentiellement, ce travail consiste à rechercher des anomalies dans les données entrantes, jour après jour. Lorsqu'une anomalie est détectée, la routine quotidienne change légèrement car il y a des incidents à enquêter, des données à collecter et des évaluations des risques et des dommages à effectuer. Mais les cyberincidents graves ne sont pas rares dans les entreprises dotées de solutions avancées protégeant les serveurs, les postes de travail et l’ensemble de l’infrastructure informatique.
Dans une étude récente menée par Enterprise Strategy Group pour le compte de la société de sécurité Kaspersky, 70 % des organisations ont admis avoir du mal à faire face au volume des alertes de sécurité.
Selon une étude ESG, outre la quantité, la variété des alertes constitue un autre défi pour 67 % des organisations. Cette situation rend difficile pour l’analyste SOC de se concentrer sur des tâches plus importantes et plus complexes. 34 % des entreprises dont les équipes de cybersécurité sont submergées par des alertes et des problèmes de sécurité urgents déclarent qu'elles n'ont pas assez de temps pour améliorer leur stratégie et leurs processus.
« Nos experts prévoient que la veille et la chasse aux menaces informatiques seront un élément clé de toute stratégie SOC. Mais le contexte actuel, dans lequel les analystes SOC consacrent leur temps, leurs compétences et leur énergie à gérer des IoC de mauvaise qualité et à lutter contre des alertes inutiles au lieu de traquer des menaces complexes et difficiles à détecter dans l'infrastructure, est non seulement une approche inefficace, mais aussi un épuisement inévitable », a déclaré Yeo Siang Tiong, directeur général pour l'Asie du Sud-Est chez Kaspersky.
Pour rationaliser le travail d'un SOC et éviter la fatigue des alertes, Kaspersky partage quelques méthodes de prévention comme suit :
- Organiser les équipes au sein de l’équipe SOC pour éviter de surcharger les employés. Assurez-vous que toutes les tâches clés sont attribuées aux personnes, telles que la surveillance, l'enquête, la gouvernance de l'architecture informatique et de l'ingénierie, ainsi que la gestion globale du SOC.
- Des mesures telles que les transferts et les rotations internes, ainsi que l’automatisation des opérations de routine et l’externalisation du suivi des données peuvent contribuer à remédier à la surcharge de personnel.
- L’utilisation d’un service de renseignement sur les menaces éprouvé permet d’intégrer des renseignements lisibles par machine dans les contrôles de sécurité existants, tels qu’un système SIEM, afin d’automatiser le traitement initial et de créer suffisamment de contexte pour décider si une alerte doit être étudiée immédiatement.
- Pour aider à libérer le SOC des tâches de gestion des alertes de routine, un service de détection et de réponse géré éprouvé peut être utilisé, tel que Kaspersky Extended Detection and Response (XDR), une technologie de sécurité multicouche qui aide à protéger l'infrastructure informatique.
Lien source
Comment (0)