Les faits marquants du mois de novembre en matière de sécurité : Nouveaux risques, nouvelles règles et nouveaux efforts de résilience

Les grands titres du mois de novembre en matière de cybersécurité ont montré que le statu quo cybernétique est en train de se fissurer.  

Les équipes de sécurité sont noyées sous les alertes, les gouvernements réécrivent les règles de défense et les opérateurs d'infrastructures critiques se préparent à des attaques plus rapides que leurs protections.

Dans l'ensemble du secteur, les experts tirent la même sonnette d'alarme : la prévention ne suffit pas. Ce dont les organisations ont vraiment besoin, c'est de résilience, celle qui repose sur l'observabilité, le confinement et la clarté induite par l'IA.

L'actualité de ce mois-ci présente les points de vue des meilleurs experts en sécurité sur les sujets suivants :

• Pourquoi les équipes de sécurité sont-elles toujours confrontées à la fatigue des alertes et que peuvent-elles faire pour y remédier ?
• Comment la nouvelle certification du modèle de maturité de la cybersécurité (CMMC) du ministère de la défense des États-Unis modifie les attentes de la base industrielle de défense (DIB)
• Pourquoi le nouveau projet de loi britannique sur la cybersécurité et la résilience n'est peut-être pas assez réaliste pour sécuriser les infrastructures critiques d'aujourd'hui ?

La crise de l'épuisement des alertes SOC et l'aide que peut apporter l'IA

Dans un nouvel épisode du TechSpective Podcast, intitulé From Alert Fatigue to Cyber Resilience : Repenser l'avenir du SOC avec l'IA, l'animateur Tony Bradley s'est entretenu avec Raghu Nandakumara, vice-président de la stratégie industrielle d'Illumio, sur l'un des problèmes les plus anciens et les plus frustrants de la cybersécurité : la fatigue des alertes.  

Bradley et Nandakumara ont cherché à comprendre pourquoi la fatigue des alertes persiste après des décennies de promesses faites par les outils de gestion des informations et des événements de sécurité (SIEM), d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) et de détection. Aujourd'hui, les équipes des centres d'opérations de sécurité (SOC) ingèrent des milliers d'alertes quotidiennes provenant de ces outils, et la plupart d'entre elles sont dénuées de sens - jusqu'à ce que l'une d'elles ne le soit plus.  

Nandakumara a décrit la tension. Les analystes savent que la plupart des alertes sont du bruit, mais vous savez également que vous ne pouvez pas tout ignorer en toute sécurité. Vous ne voulez pas être cette organisation qui ignore une seule mauvaise chose.  

Cette réalité a épuisé les équipes, les a rendues réactives et, trop souvent, les a mises à mal.  

Nandakumara a expliqué comment Illumio s'attaque à ce problème avec Illumio Insights et son nouvel agent Insights piloté par l'IA.  

Plutôt que de noyer les analystes dans la télémétrie brute, Insights ajoute un contexte critique, notamment en cartographiant les charges de travail, les flux et les voies d'attaque potentielles, pour aider les équipes à repérer le signal dans le bruit. À partir de là, l'agent prend le relais avec des conseils exploitables et basés sur les rôles.

Comme l'a décrit M. Nandakumara, l'agent doté d'une IA peut "trouver l'aiguille dans la botte de foin". Ensuite, il indique immédiatement aux différents rôles, tels que les analystes SOC, les chasseurs de menaces, les intervenants ou les responsables de la conformité, exactement ce qu'il faut faire ensuite.  

La conversation a également porté sur une évolution plus importante du secteur vers la cyber-résilience, et non la conformité, en tant qu'objectif.  

La prévention reste importante, mais Nandakumara a souligné une dure réalité : "À un moment donné, cette capacité de prévention va permettre à quelqu'un de passer à travers les mailles du filet".  

C'est pourquoi Illumio met l'accent sur l'endiguement afin d'arrêter la propagation des intrusions inévitables. Les attaquants peuvent franchir le périmètre, mais ils ne doivent pas pouvoir se déplacer.

Associez cela à l'observabilité pilotée par l'IA, affirme M. Nandakumara, et les organisations obtiennent à la fois rapidité et clarté, deux choses dont les SOC d'aujourd'hui manquent désespérément.

Pour l'avenir, M. Nandakumara estime que la pile de sécurité s'oriente vers des agents d'IA interconnectés fonctionnant tous sur un graphe de sécurité unifié. Des outils enrichiront un modèle partagé de l'environnement et des agents basés sur des personas agiront sur ce modèle.  

M. Nandakumara a encouragé les dirigeants à s'engager dans cette évolution. "L'expertise humaine aura toujours un rôle très important à jouer", a-t-il déclaré. "L'IA ne fait que rendre les humains plus productifs.  

L'expertise humaine aura toujours un rôle très important à jouer. L'IA ne fait que rendre les humains plus productifs.

La certification du modèle de maturité de la cybersécurité (CMMC) du ministère de la défense, attendue depuis longtemps, est enfin entrée en vigueur.

Dans son article MeriTalk intitulé "Industry Leaders Say CMMC Rollout Redefines Security, Accountability Across the DIB", Lisbeth Perez explique comment la Cybersecurity Maturity Model Certification (CMMC), tant attendue par le ministère de la défense, entrera officiellement en vigueur le 10 novembre et pourquoi elle marque un tournant décisif pour la base industrielle de défense (DIB).  

La règle introduit un cadre à trois niveaux qui lie directement les normes de cybersécurité à la sensibilité des données traitées par les sous-traitants. Le ministère de la défense prévoit de mettre en œuvre le programme en quatre phases au cours des trois prochaines années.

Après des années de retards et de débats, le CMMC n'est plus un simple guide cybernétique. C'est la loi.

Le changement ne pourrait être plus urgent. Gary Barlet, directeur technique du secteur public chez Illumio, a déclaré à MeriTalk que la CMMC était attendue depuis longtemps, mais qu'elle était essentielle à la défense nationale.  

Même lors de la dernière fermeture du gouvernement, où de nombreuses opérations ont été interrompues, les adversaires des États-Unis ne l'ont pas fait, a expliqué M. Barlet. Les agences et les fournisseurs avec lesquels elles travaillent doivent continuer à s'engager en faveur de la résilience.  

En fin de compte, la conformité n'est pas seulement une question de paperasserie, mais aussi de survie opérationnelle.

"Le CMMC veille à ce que la cybersécurité ne soit plus facultative", a déclaré M. Barlet. "Il permet de responsabiliser les fournisseurs à tous les niveaux et de les obliger à remédier à des vulnérabilités souvent négligées".  

Pour la DIB, le message est clair : la sécurité est désormais un facteur de différenciation. La résilience est la nouvelle exigence pour faire des affaires avec le gouvernement américain.

Le CMMC veille à ce que la cybersécurité ne soit plus facultative. Il intègre la responsabilité à tous les niveaux et oblige les fournisseurs à remédier à des vulnérabilités souvent négligées.

Le nouveau projet de loi britannique sur la cybersécurité et la résilience vise les infrastructures critiques. Mais est-ce pratique ?

Dans son article ITPro intitulé "Cyber Security and Resilience Bill : Les experts en sécurité s'interrogent sur le caractère pratique et la portée de la nouvelle législation", le journaliste Ross Kelly a analysé la nouvelle tentative du Royaume-Uni de renforcer les cyberdéfenses nationales et les raisons pour lesquelles les responsables de la sécurité sont divisés sur la question de savoir si le projet de loi va assez loin.  

La proposition de loi intervient à un moment où le risque systémique s'accroît. Comme l'a fait remarquer M. Ross, de nouveaux chiffres de l'Office for Budget Responsibility montrent qu'une attaque majeure contre des infrastructures essentielles pourrait faire grimper les emprunts publics de 30 milliards de livres, le coût moyen d'une cyberattaque importante dépassant désormais les 190 000 livres.

La législation vise à soumettre pour la première fois les fournisseurs de services numériques et les opérateurs essentiels, y compris la gestion informatique des soins de santé, de l'eau, de l'énergie et des transports, à des normes de sécurité minimales unifiées.  

Les organisations seront tenues de signaler rapidement les incidents importants et de mettre en place des plans d'intervention solides. Les régulateurs et les ministres bénéficient d'un pouvoir étendu leur permettant d'imposer des mesures lorsque la sécurité nationale est menacée.  

"La cybersécurité est une question de sécurité nationale", a déclaré Liz Kendall, ministre britannique des technologies. "Je leur envoie un message clair : le Royaume-Uni n'est pas une cible facile.

Trevor Dearing, directeur des solutions industrielles d'Illumio, s'est vivement félicité de l'évolution vers un signalement plus large et plus précoce des incidents. Il a déclaré qu'il s'agissait d'un point aveugle de longue date dans la gestion des risques liés aux infrastructures critiques.  

"Le passage de la notification des seules violations réussies à la notification de tous les cyberincidents aurait dû avoir lieu depuis longtemps", a-t-il déclaré. Il a également fait l'éloge des nouveaux pouvoirs permettant d'isoler ou de surveiller les systèmes à haut risque, les qualifiant de "mesure intelligente" pour réduire l'exposition systémique.

Mais le projet de loi est-il suffisamment concret pour répondre aux menaces actuelles ? Tous les experts ne sont pas d'accord.

Chris Dimitriadis, directeur de la stratégie mondiale de l 'Association britannique pour l'audit et le contrôle des systèmes d'information (ISACA ), a critiqué l'étroitesse d'esprit du projet de loi. Il a déclaré qu'elle ne tenait pas compte de l'endroit où le risque moderne est réellement présent.  

"L'époque où la cyber-réglementation pouvait se concentrer uniquement sur les infrastructures nationales critiques est révolue", a-t-il déclaré. Avec des organisations britanniques telles que M&S, Co-op et Jaguar Land Rover (JLR) récemment touchées par des violations majeures, il a averti que "tous les grands employeurs font partie de l'économie numérique et donc du paysage des menaces".  

Mme Dearing a également fait remarquer que le durcissement des sanctions doit s'accompagner d'investissements visant à aider les organisations, en particulier celles dont les budgets sont limités, à satisfaire aux nouvelles exigences.  

"Il est tout aussi important qu'un soutien suffisant soit apporté aux organisations pour les aider à se mettre en conformité", a-t-il ajouté.  

Le nouveau projet de loi britannique sur la cybersécurité et la résilience marque assurément un progrès significatif en matière de gouvernance de la cybersécurité. Mais son exécution et ses ressources détermineront si elle renforce la résilience nationale ou si elle ne fait qu'ajouter une nouvelle couche de paperasserie à un écosystème déjà mis à rude épreuve.

Essayez Illumio Insights gratuitement pour découvrir comment l'IA réduit le bruit des alertes, identifie les menaces réelles et guide chaque rôle vers un endiguement plus rapide.