La structure organisationnelle informatique est en pleine mutation, car les modèles traditionnels ne correspondent plus aux exigences modernes de l’infrastructure cloud et de la transformation numérique. Bien que cela se produise sous de nombreuses formes et formes différentes, l’un des changements les plus intéressants est la convergence entre les centres d’opérations réseau (NOC) et les équipes du centre d’opérations de sécurité (SOC). Pour comprendre pourquoi ce n’est pas seulement intéressant mais aussi critique, permettez-moi de donner un exemple.
Dans une entreprise, l’équipe SOC a enquêté sur une violation de données suspecte pendant dix jours sans alerter aucune autre partie de l’organisation. Au cours de cette période, l’équipe SOC a recherché de nouvelles informations, s’arrêtant lorsqu’elle avait besoin de plus de données et examinant le trafic qui semblait néfaste. Leur approche a empêché toute communication entre les autres parties prenantes. Ni l’équipe de presse juridique ni celle de presse interne n’étaient au courant qu’une crise aurait pu se produire. Personne d’autre n’a fourni d’informations ou de données supplémentaires ou n’a été engagé pour aider à contrecarrer l’événement.
Cet exemple montre à quel point les silos entre le NOC et le SOC peuvent être dangereux. Pour améliorer la résilience et la réactivité de leurs réseaux et la gestion des incidents de sécurité, de nombreuses équipes de cybersécurité amorcent une convergence critique du NOC et du SOC. La raison d’être d’une telle décision est que la mission du NOC (assurer le fonctionnement fiable du réseau et résoudre rapidement les problèmes opérationnels) et la mission du SOC (identifier et résoudre les incidents de sécurité) utilisent de plus en plus les mêmes types de données, l’automatisation , et analytique.
En créant une infrastructure commune et un processus fusionné, les organisations peuvent améliorer la fiabilité et la résilience, le tout à moindre coût. Cette convergence n’en est qu’à ses débuts, mais nous pouvons déjà en tirer des enseignements pour les équipes d’opérations technologiques mettant en œuvre les pratiques DevOps et DevSecOps, et étendant également l’automatisation dans son ensemble.
Forces motrices de la convergence CNO/SOC
Un NOC comprend des techniciens informatiques qui surveillent, entretiennent et supervisent les réseaux d’entreprise, y compris les réseaux internes ou externes si l’organisation prend en charge les services gérés, tels que le cloud, pour les clients. Les équipes NOC utilisent des outils de surveillance à distance pour surveiller l’activité du réseau, répondre aux interruptions de disponibilité du réseau et optimiser les performances. À mesure que les périmètres de sécurité traditionnels se dissolvent, l’ensemble de l’écosystème informatique devient une cible de choix pour les activités cybercriminelles et les incidents réseau. Les organisations réagissent en mettant en place des SOC, qui s’engagent dans un travail manuel pour compléter les systèmes automatisés afin de gérer l’environnement de cybersécurité de plus en plus complexe de l’organisation.
Les NOC et les SOC identifient, étudient, hiérarchisent, escaladent et résolvent les problèmes pour atténuer ou éviter complètement les événements ayant un impact sur les clients et l’entreprise. Les équipes NOC résolvent les problèmes de performances et de disponibilité du réseau tandis que l’équipe SOC reçoit des informations sur les menaces de sécurité et y répond. Alors que les deux équipes surveillent en permanence les journaux et les événements, elles utilisent des outils et des processus différents, ce qui pose des problèmes pour comprendre quelle équipe doit réagir.
Dans un livre récent sur la cybersécurité, Combattre le feu par le feu : stratégies de cybersécurité proactives pour les dirigeants d’aujourd’hui, l’auteur Renee Tarun décrit la confusion qui se produit lorsque le NOC et le SOC restent cloisonnés :
Lorsqu’un problème survient, chaque partie déploie sa propre équipe d’intervention, utilisant souvent des outils dupliqués et regardant à travers deux lentilles différentes le même ensemble de données. Sans surprise, l’équipe réseau aborde les incidents du point de vue de la disponibilité du réseau tandis que l’équipe de sécurité aborde les mêmes problèmes du point de vue des intentions malveillantes ou des vulnérabilités de sécurité. Ce qui semble être un problème de réseau peut en réalité être une attaque ou un autre problème cyber ; et ce qui ressemble à un cyberincident ou à une menace peut en réalité être un problème de réseau. Certains problèmes entrent dans les deux catégories. [1].
Avantages de la centralisation du processus de gestion des incidents
Briser ces silos nécessite une approche centralisée, mais cette approche nécessite également une appropriation. Le NOC est le mieux adapté pour s’approprier le processus de gestion des incidents, car il gère un plus grand nombre de types d’incidents, ceux qui ne sont pas uniquement liés à la sécurité. Lorsque l’équipe NOC s’approprie la zone de gestion des incidents, elle ouvre la voie à la convergence. Atteindre pleinement cette convergence signifie se rassembler grâce à des processus et des outils partagés (tels que des outils de billetterie, de communication et de surveillance).
Meilleure communication avec les parties prenantes inter-organisationnelles
Comme toute personne qui a été de garde le sait trop bien, enquêter sur un incident n’est qu’une partie du travail. La communication avec les parties prenantes internes et externes est un élément crucial. En gérant le processus de réponse aux incidents, le NOC garantit le niveau de communication approprié dans l’ensemble de l’organisation. Garder toutes les parties prenantes au courant, même si c’est du point de vue de la communication, pas nécessairement les personnes nécessaires pour atténuer ou enquêter, garantit que tout le monde peut être prêt à agir, quel que soit le résultat.
Amélioration de l’accès et du partage des données
Le NOC est bien adapté en tant que connecteur entre l’équipe de sécurité et les chefs de produits, les responsables de programmes techniques ou les propriétaires de services individuels. Parce que l’équipe NOC entretient des relations avec de nombreuses parties prenantes, elles ont généralement accès aux bonnes données et à l’expertise dans toute l’organisation. De cette façon, le CNO devient un expert en la matière pour le SOC. La gestion centralisée des incidents rassemble les analyses automatisées de chaque groupe. À un moment donné du processus de réponse aux incidents, les équipes déterminent quel expert détient quelle partie du problème.
L’isolement permet au risque de s’épanouir
En fin de compte, la convergence passe par le partenariat. Chaque équipe considère que l’autre remplit un rôle complémentaire dans l’atténuation de l’impact d’un incident sur l’entreprise ou le client. Malheureusement, malgré les avantages, de nombreuses organisations fonctionnent encore en silos comme l’entreprise décrite ci-dessus. L’équipe SOC a passé 10 jours à enquêter sur une violation présumée des données, le tout dans un silo et n’incluant jamais le NOC, l’équipe de presse, le service juridique ou tout autre acteur commercial important.
Comment des événements uniques catalysent le changement
Des événements comme celui-ci catalysent le changement. Dans l’exemple ci-dessus, la violation de données a été évaluée comme bénigne et aucune crise ne s’est produite. Pourtant, et si la menace s’avérait réelle ? Lorsqu’un incident très visible se déclenche dans une bulle, cela empêche quiconque d’engager, d’atténuer et de protéger les clients et l’entreprise.
Heureusement, cette entreprise a utilisé ce faux pas comme une opportunité de changement. Le NOC a introduit un processus simplifié de gestion des incidents nécessitant l’émission d’une contravention pour toute activité suspectée nécessitant une enquête de sécurité. Cela signifiait que le SOC ne travaillerait plus jamais sur un problème dans le noir. La centralisation du processus de gestion des incidents a ouvert des canaux de communication, permis de faire appel à des experts en la matière en cas de besoin et d’assurer le partage des données, tout en maintenant la visibilité de l’incident.
Faire converger la technologie et les données pour briser les silos
Briser les silos entre les équipes est délicat mais gratifiant. La collaboration et l’intégration entre les CNO et les SOC ne résolvent pas seulement les contraintes financières et physiques, mais réduisent également les risques.
À mesure que le paysage du système numérique s’élargit, il peut prendre plus de temps pour savoir quels experts sont nécessaires lorsque les choses tournent mal. La gestion centralisée des incidents est la voie d’accès pour raccourcir le temps nécessaire pour engager plusieurs types d’expertise et répondre. Cependant, même avec un processus convergé, l’explosion des meilleurs outils et services cloud rend difficile la convergence des données.
Actuellement, les propriétaires de services individuels créent leurs propres services et microservices et utilisent leurs outils de surveillance, chacun reconnaissant son propre ensemble d’événements. Alors que les équipes peuvent utiliser des outils distincts (chacun avec ses propres ensembles de données), l’objectif devrait être d’avoir une plate-forme partagée qui peut créer des données structurées à partir de chaque système.
Le fait de regrouper tous ces événements en un seul endroit vous permet d’effectuer une normalisation et une corrélation. Ensemble, plusieurs alertes d’événements provenant de systèmes disparates créent une histoire complète. Lorsqu’elles sont regroupées, ces alertes représentent un incident avec contexte, aidant les organisations à accélérer le temps qu’il leur faut pour atteindre un point où elles peuvent commencer les premières étapes d’atténuation ou de tri. Les alertes routées déclenchent l’automatisation par rapport au début d’un processus. En conséquence, le concept de vitre unique que tout le monde a vendu au cours des 15 dernières années peut enfin être réalisé.
Comment la convergence de la cybersécurité est un terrain d’essai pour les opérations techniques
La convergence entre les équipes NOC et SOC est un terrain d’essai pour résoudre les mêmes types de problèmes qui apparaîtront de plus en plus dans TechOps. Au fur et à mesure que le paysage des systèmes opérationnels s’étend, des spécialistes seront nécessaires pour s’occuper de chaque système. Dans le même temps, tout comme dans le cas de la cybersécurité, il faudra d’abord une analyse et une collaboration pour comprendre ce qui se passe afin que la bonne équipe puisse prendre le relais ou que le bon ensemble d’équipes puisse collaborer. Les pratiques de gestion centralisée des incidents et d’outils analytiques partagés, ainsi qu’un processus rationalisé d’analyse des événements et de répartition des responsabilités, seront l’un des nombreux modèles de convergence qui se répéteront encore et encore à mesure que TechOps deviendra un domaine beaucoup plus large et omniprésent.