Sécurité des entreprises
Les conditions préalables pour devenir une élite de la sécurité créent un plafond de compétences difficile à franchir, notamment lorsqu’il s’agit de recruter des opérateurs EDR ou XDR qualifiés. Comment les entreprises peuvent-elles résoudre cette énigme ?
21 mai 2024
•
,
4 minutes. lire
Les professionnels des ressources humaines savent que le prix du marché pour un opérateur qualifié peut dépasser ce qu’une entreprise voudrait allouer pour une telle embauche. Simplement, les RH sont dans une impasse : ils doivent surinvestir dans quelqu’un sans savoir si l’embauche sera A. suffisamment compétente pour gérer correctement les solutions de sécurité de plus en plus complexes de l’entreprise ; B. même rester après la probation ; ou C. épuisement professionnel en raison de la charge de travail élevée de l’équipe de sécurité.
La réponse se trouve là où se trouve le problème : le recrutement ne peut être résolu qu’en investissant dans des talents possédant une expérience démontrée. Ou? Peut-être via l’externalisation – par exemple en employant des professionnels qualifiés d’un partenaire de sécurité.
Un marché difficile à percer
Le marché du travail pour les professionnels de la sécurité informatique est souvent dicté par l’employé potentiel et non par l’employeur, ce qui crée un dilemme : les responsables de la sécurité de l’information (RSSI), les responsables de la sécurité ou les techniciens seront-ils en mesure de rationaliser la hausse des coûts d’emploi, ou feraient-ils mieux de développer des talents internes à partir de zéro ?
Lors de l’embauche d’une équipe de réponse aux incidents, par exemple, il y a toujours un moment inévitable où une question est posée : si le candidat a suffisamment d’expérience pratique avec les produits et processus de détection et de réponse aux points finaux (EDR) ou de détection et réponse étendues (XDR), qui représentent les principales solutions qu’ils utiliseraient quotidiennement.
Des questions connexes sont tout aussi importantes : peuvent-ils hiérarchiser suffisamment les détections et les incidents ? Leurs compétences en matière d’évaluation des risques sont-elles ciblées – malgré les faux positifs et le « bruit » qui proviennent souvent d’un trop grand nombre de règles par défaut ? Peuvent-ils rédiger des règles personnalisées pertinentes pour le réseau/l’écosystème de l’employeur ? Comment gèrent-ils la fatigue des alertes ? Dans quelle mesure connaissent-ils les tactiques, techniques et procédures (TTP) liées aux attaquants ciblant le secteur vertical de l’entreprise ?
Ces préoccupations s’étendent de l’entretien jusqu’au centre d’opérations de sécurité (SOC) ou au bureau d’administration de l’entreprise. Ils constituent une préoccupation constante pour toute entreprise qui souhaite prendre sa sécurité au sérieux.
La vérité est que même s’il est prouvé que les outils de détection et de réponse fournissent un ensemble puissant d’informations sur un réseau et ses points de terminaison, leur utilisation est exigeante. Franchement, les administrateurs expérimentés sont encore plus difficiles à sécuriser que les produits rentables. Ainsi, lors de l’embauche d’un administrateur de sécurité ou du personnel d’un centre d’opérations de sécurité, les organisations doivent s’assurer que ce même personnel peut exploiter efficacement des outils et des informations coûteux de détection et de réponse avec un haut niveau de facilité.
Combler le déficit de compétences avec les bons outils ?
Combler le fossé de compétences entre un administrateur de sécurité de haut niveau, par opposition à la maturation d’un administrateur novice pour devenir un professionnel, peut être réalisé en lui fournissant les connaissances supplémentaires nécessaires pour être en mesure de classer les menaces et de prioriser l’atténuation. Pour soutenir le plus efficacement une équipe à cet égard, il faut réduire la charge d’analyse et d’interprétation des données du tableau de bord concernant les détections de réseau.
Les solutions modernes natives de l’IA peuvent grandement aider les jeunes professionnels en contextualisant et en priorisant les détections très suspectes et méritant un traitement « spécial ». Une telle solution peut non seulement retracer les menaces potentielles jusqu’à leurs sources, mais également fournir un contexte plus large, éliminant ainsi l’expérience frustrante de devoir passer au crible une quantité infinie de notifications et de configurations.
Les opérateurs de sécurité, qui, en consultant un tableau de bord, peuvent localiser les bonnes corrélations grâce à une meilleure transparence des processus entre ces facteurs, acquérir de l’expérience sur le terrain, gagner en confiance et, au final, devenir des défenseurs de la sécurité compétents qui peuvent facilement regarder au-delà de l’habituel. catégorisation des détections, des règles, des déclencheurs, etc. au sein des solutions EDR et XDR.
Cependant, identifier le bon produit qui offre une grande visibilité et transparence sur ses processus, avec un faible coût total de possession (TCO) et des fonctionnalités favorisant la maturation des compétences, devient alors un élément essentiel de la prise de décision pour toute partie qui embauche – y compris les RSSI et Personnel RH. Bon nombre de ces qualités importantes sont explorées en profondeur par des tests effectués par des analystes tiers tels que AV Compares ou SE Labs. Par conséquent, la recherche de la bonne solution combinant les bons outils pour créer une expérience ne devrait pas poser un tel obstacle, mais elle nécessite tout de même quelques investissement de temps pour la recherche.
Alternativement, le temps investi pourrait également être consacré à la recherche d’autres solutions – celles fournies avec du personnel dès le départ – ce qui pourrait impliquer de faire appel à un fournisseur de services de sécurité gérés (MSSP) ou à un fournisseur de sécurité pour la détection et la réponse gérées (MDR). . Cette combinaison offre les connaissances des professionnels de la sécurité associées à une compréhension approfondie des produits qu’ils servent. Cela crée une combinaison puissante qui évite l’embauche de professionnels coûteux ou la nécessité de les former.
Le coût de faire des affaires
Les entreprises s’attendent à un retour sur investissement tangible lorsqu’elles acquièrent à la fois des outils de détection et de réponse et le personnel nécessaire pour les faire fonctionner. Ainsi, les fonctionnalités qui apportent des améliorations significatives aux capacités analytiques nécessaires aux administrateurs de sécurité, aux chasseurs de menaces et aux équipes du centre d’opérations de sécurité (SOC) en général sont essentielles pour garantir un retour sur investissement positif. En fin de compte, si le personnel peut appliquer son expertise plus facilement, il peut garantir la confiance d’une organisation dans sa capacité démontrée à analyser efficacement les événements et à hiérarchiser correctement les décisions de protection pour une approche axée sur la prévention.
En fin de compte, l’un des objectifs clés des ingénieurs en sécurité est de se familiariser avec les systèmes de leur organisation et de prioriser la protection en conséquence. Cela s’ajoute aux pratiques de sécurité de base, qui doivent toujours être en place. Tirer parti de la détection et de la réponse consiste à acquérir une connaissance approfondie de votre environnement afin que votre organisation puisse mûrir dans sa posture de sécurité.
Pour ce faire, une entreprise n’a pas besoin de regarder plus loin que son propre talent, car celui-ci possède en soi un potentiel de sécurité caché. Mais même dans ce cas, si la croissance des talents en interne est lente, des solutions alternatives telles que MDR pourraient suffire à satisfaire même les opérations de sécurité les plus exigeantes.
À LIRE SUIVANT : MDR : libérer la puissance de la sécurité de niveau entreprise pour les entreprises de toutes tailles