Pour ceux qui travaillent dans le domaine de la sécurité de l’information, comme dans un centre d’opérations de sécurité (SOC), la nature répétitive du travail peut également entraîner un épuisement professionnel. Cela est non seulement préjudiciable pour eux-mêmes, mais aussi pour l’organisation dans laquelle ils travaillent.

Essentiellement, ce travail consiste à rechercher des anomalies dans les données entrantes, jour après jour. Lorsqu'une anomalie est détectée, la routine quotidienne change légèrement car il y a des incidents à enquêter, des données à collecter et des évaluations des risques et des dommages à effectuer. Mais les cyberincidents graves ne sont pas rares dans les entreprises dotées de solutions avancées protégeant les serveurs, les postes de travail et l’ensemble de l’infrastructure informatique.

Dans une étude récente menée par Enterprise Strategy Group pour le compte de la société de sécurité Kaspersky, 70 % des organisations ont admis avoir du mal à suivre le volume des alertes de sécurité.

Selon une étude ESG, outre la quantité, la variété des alertes constitue un autre défi pour 67 % des organisations. Cette situation rend difficile pour l’analyste SOC de se concentrer sur des tâches plus importantes et plus complexes. 34 % des entreprises dont les équipes de cybersécurité sont submergées par des alertes et des problèmes de sécurité urgents déclarent qu'elles n'ont pas assez de temps pour améliorer leur stratégie et leurs processus.

« Nos experts prédisent que la veille et la traque des cybermenaces constitueront un élément clé de toute stratégie SOC. Or, dans le contexte actuel, où les analystes SOC consacrent leur temps, leurs compétences et leur énergie à gérer des indicateurs de compromission de mauvaise qualité et à lutter contre des alertes inutiles au lieu de traquer les menaces complexes et difficiles à détecter au sein de l'infrastructure, cette approche est non seulement inefficace, mais aussi vouée à l'épuisement », a déclaré Yeo Siang Tiong, directeur général pour l'Asie du Sud-Est chez Kaspersky.

Pour rationaliser le travail d'un SOC et éviter la fatigue des alertes, Kaspersky partage quelques méthodes de prévention comme suit :

• Organisez les quarts de travail au sein de l’équipe SOC pour éviter de surcharger les employés. Assurez-vous que toutes les tâches clés sont attribuées aux personnes, telles que la surveillance, l'enquête, la gouvernance de l'architecture informatique et de l'ingénierie, ainsi que la gestion globale du SOC.
• Des mesures telles que les transferts et les rotations internes, ainsi que l’automatisation des opérations de routine et l’externalisation de la surveillance des données peuvent contribuer à remédier à la surcharge de personnel.
• L’utilisation d’un service de renseignement sur les menaces éprouvé permet d’intégrer des renseignements lisibles par machine dans les contrôles de sécurité existants, tels qu’un système SIEM, afin d’automatiser le traitement initial et de créer suffisamment de contexte pour décider s’il faut enquêter immédiatement sur une alerte.
• Pour aider à libérer le SOC des tâches de gestion des alertes de routine, un service de détection et de réponse géré éprouvé peut être utilisé, tel que Kaspersky Extended Detection and Response (XDR), une technologie de sécurité multicouche qui aide à protéger l'infrastructure informatique.