Pourquoi l’automatisation pilotée par l’observabilité est essentielle pour s’y conformer.
Par Ben Todd, RVP
Security Solutions, EMEA, chez Dynatrace
Ces dernières années,
les réglementations visant à garantir la sécurité et la responsabilité n’ont
cessé d’évoluer dans un contexte où les organisations poursuivent leur course à
l’innovation technologique. L’UE a ouvert la voie avec le RGPD et, plus récemment,
la directive NIS2.
À ce jour, NIS2
constitue la directive la plus exhaustive en matière de cybersécurité à
l’échelle européenne, voire mondiale. Il s’agit d’une évolution de la
règlementation initialement introduite en 2016, qui a pour objectif d’imposer
des exigences plus strictes en matière de gestion des risques et de déclaration
d’incidents de cybersécurité, pour un plus grand nombre de secteurs, et avec
des sanctions beaucoup plus sévères en cas de non-conformité. NIS2 doit être
transposée dans le droit national d’ici le 17 octobre 2024, il n’y a vraiment
pas de temps à perdre.
Un défi de taille
Les cyberattaques sont
de plus en plus fréquentes. La technologie utilisée pour stimuler l’innovation
et les méthodes adoptées par les instigateurs de menaces sont de plus en plus
intelligentes et puissantes.
La directive NIS2 vise
à garantir que les organisations soient mieux protégées contre la
sophistication et de la fréquence des cyberattaques. Mais le niveau de rigueur
des exigences s’avère quelque peu décourageant, en particulier pour les
secteurs et les organisations qui n’ont jamais eu à se conformer à des
règlementations aussi strictes.
NIS2 impose, par
exemple, des délais très courts pour déclarer les incidents de cybersécurité.
En cas d’incident, les organisations doivent ainsi émettre une alerte rapide
dans les 24 heures, puis une notification plus détaillée dans les 72 heures.
Cette notification doit notamment inclure une évaluation initiale de l’incident
indiquant sa gravité, son impact et les indicateurs de compromission. Un
rapport final doit être fourni au bout d’un mois, pour montrer que des leçons
peuvent être tirées des incidents précédents.
Ces exigences
soulignent le fait qu’il ne suffit plus, pour une organisation, de démontrer
qu’elle peut être auditée en cas de besoin, mais que les incidents de sécurité
peuvent faire l’objet d’une enquête et être résolus rapidement et efficacement.
En l’état actuel des choses, ces échéances sont quasi-impossibles à respecter
si les équipes de sécurité ne disposent pas des bons outils.
Cela n’est pas un
problème de ressources
Lorsque les
organisations sont confrontées à de nouvelles exigences en termes de sécurité
et de conformité, leur premier réflexe consiste, bien trop souvent, à assigner
plus de ressources au problème. Bien qu’il soit évidemment important de
mobiliser les bonnes compétences pour atteindre et maintenir la conformité, ce
n’est pas une solution tenable sur le long terme dans la mesure où il n’y a
tout simplement pas assez de spécialistes de la sécurité pour tous. NIS2 va
encore aggraver cette pénurie de compétences du fait du grand nombre
d’organisations concernées. Celles qui peuvent se permettre d’embaucher de
grandes équipes de sécurité vont s’emparer de tous les talents avant que les
autres n’en aient l’occasion.
La nature complexe des
environnements multicloud et des pratiques de livraison dans le cloud
transforment la façon dont les équipes de sécurité abordent la cybersécurité,
ajoutant encore un autre défi pour se conformer à NIS2. Le développement
logiciel est maintenant un processus continu, avec plus de releases et des
cycles de tests plus courts pour les équipes de sécurité. Par conséquent, ces
équipes sont davantage susceptibles de passer à côté de vulnérabilités. Une
étude a montré que seuls 50% des RSSI sont pleinement convaincus que leurs
logiciels ont été complètement testés pour détecter des vulnérabilités avant
d’être mis en production.
Une solution
intelligente
Pour se conformer aux
exigences de NIS2 et mettre en place de solides capacités de gestion des
vulnérabilités et des incidents, il est vital aujourd’hui d’optimiser et
d’automatiser les processus d’analyses et de reporting en matière de sécurité.
Il est humainement impossible de fournir le niveau de détails et de précision
sur les incidents de cybersécurité requis par NIS2 dans les délais spécifiés
via des approches manuelles. Les organisations ont besoin de données en temps
réel sur l’état de leur sécurité et d’une visibilité complète sur leur
environnement multicloud hybride.
Cela ne peut être
réalisé qu’en faisant converger la sécurité avec les données d’observabilité,
et en automatisant l’analyses des vulnérabilités au runtime pour obtenir des
informations sur la gravité et l’impact des incidents. Grâce à ces
informations, les équipes peuvent instantanément évaluer l’urgence de toute
vulnérabilité et identifier quels systèmes ont été impactés pendant l’incident
– ce qui est essentiel pour les rapports d’alerte précoce. Elles peuvent aussi
accéder à des informations sur la manière de prioriser et de résoudre les
problèmes, et donc agir rapidement. Cependant, pour collecter ces informations
dans les délais serrés imposés par NIS2, les équipes de sécurité doivent
automatiser le processus permettant d’extraire ces informations et les compiler
dans des rapports et des notifications d’incidents.
Aller au-delà de la
conformité
Les organisations
doivent également réfléchir à la façon dont elles peuvent étendre ces capacités
pour aller au-delà de la conformité à NIS2. Plutôt que de se concentrer
uniquement sur la détection et le reporting des problèmes en production, elles
devraient chercher à les empêcher de se produire, en adoptant un état d’esprit
de sécurité par défaut. Il s’agit de s’assurer que la sécurité est gérée comme
un composant critique dans le cycle de vie du développement logiciel. De
nombreuses organisations affirment qu’elles l’ont déjà intégrée comme tel, mais
la plupart le font manuellement et sans visibilité totale, ce qui en limite
l’impact.
Les équipes de sécurité
et de développement doivent, par exemple, travailler ensemble pour s’assurer
qu’un logiciel n’est pas promu de façon trop précoce dans le pipeline – à moins
que les deux équipes ne soient sûres qu’il est sécurisé. Les contrôles automatisés
de qualité et de sécurité constituent un excellent moyen de supprimer le
travail manuel impliqué dans ce processus. En combinant ces fonctionnalités
avec les données d’observabilité, les vulnérabilités et les erreurs peuvent
être automatiquement détectées, afin que les développeurs puissent les résoudre
avant que le code ne passe à l’étape suivante de livraison.
Il est temps d’agir
L’échéance pour NIS2 approche à grands pas, et avec des exigences sans précédent, les organisations ne peuvent pas se permettre de tarder à réagir. Les régulateurs ne feront que durcir les obligations en matière de cybersécurité. Il est donc temps pour les organisations d’agir en s’assurant d’avoir la visibilité dont elles ont besoin pour garder une longueur d’avance en termes de conformité.