5 arguments pour convaincre les cadres dirigeants d’acheter un SIEM

En tant qu’équipe de cybersécurité, il peut parfois être difficile de convaincre les cadres dirigeants de l’importance d’un programme de sécurité solide au sein de votre entreprise. Il en résulte un manque critique en matière de ressources par rapport à ce qui serait nécessaire pour protéger de manière optimale l’ensemble du périmètre et des activités de l’entreprise.

Une solution moderne de gestion de l’information et des évènements de sécurité (Modern SIEM) est un élément fondamental dans la boîte à outils Cybersécurité. Le SIEM ingère des données provenant de toutes les sources possible au sein de votre infrastructure informatique et permet une analyse de sécurité avancée et en temps réel de ces dernières, en identifiant les menaces et en prévenant les failles. Un SIEM fournit un support précieux en matière de cybersécurité, d’exploitation des systèmes informatiques et de conformité.

Cependant, la valeur des analyses de sécurité n’est souvent pas visible pour les décideurs au plus haut niveau, et cette faible visibilité les empêche d’être considérées comme prioritaires au niveau des programmes d’investissement de l’entreprise. Par analogie, vous avez probablement des extincteurs dans votre bureau, mais la plupart d’entre nous ne les ont jamais utilisés. Cependant, juste au cas où, nous avons encore des extincteurs partout, et la plupart des gens ont également une connaissance générale des comportements à adopter en cas d’incendie.

La même chose devrait s’appliquer à votre entreprise en matière de cybersécurité. Trop souvent, les dirigeants n’accordent pas assez d’importance à la cybersécurité (ou ne la comprennent pas) jusqu’à ce qu’il soit trop tard : après une violation de données, une divulgation publique dans les médias, voire même les deux.

Il peut être difficile pour toute entreprise de déterminer la valeur financière de la mise en œuvre d’une solution SIEM. Alors, comment convaincre vos cadres dirigeants que cet investissement pourrait aider l’entreprise à augmenter son bénéfice et à minimiser les risques encourus ?

Pour vous aider à convaincre l’équipe dirigeante, voici 5 arguments à prendre en compte :

Votre équipe de cybersécurité teste probablement déjà l’efficacité de vos défenses. Mais les cybercriminels utilisent des techniques de plus en plus sophistiquées et choisiront généralement la voie offrant le moins de résistance. L’ingénierie sociale ciblant les employés de l’entreprise, comme les campagnes de phishing par exemple, facilite la pénétration dans un réseau bien protégé. Analyser, réagir et signaler les violations peut prendre beaucoup de temps à l’équipe de sécurité dans son ensemble.

Pour que votre équipe de sécurité puisse travailler plus intelligemment dans ces conditions, il est important qu’elle dispose de solutions adaptées pour l’aider au quotidien. Comprendre les caractéristiques d’une attaque classique constitue un bon point de départ pour comprendre où vos investissements, en matière de solutions de cybersécurité, seront les plus efficaces.

Les mouvements latéraux au sein de votre infrastructure informatique représentent un risque croissant et sont très difficiles à détecter si vous ne disposez pas d’analyses de sécurité efficaces. L’attaquant utilisera différents outils et méthodes pour obtenir des privilèges supérieurs et un accès lui permettant ainsi de se déplacer latéralement (par le biais de chemins secondaires entre les appareils et les applications) via un réseau afin de cartographier le système, d’identifier les cibles et de mettre la main sur les trésors cachés de l’entreprise.

Si l’attaquant parvient à sécuriser les privilèges administrateur, il peut s’avérer extrêmement difficile de détecter les mouvements latéraux malveillants, car ils peuvent apparaître sous la forme d’un trafic réseau «normal» pour les professionnels de la sécurité qui ne disposent pas des outils nécessaires pour les différencier, ou bien qui sont tout simplement submergés par une multitude d’alertes.

La capacité à détecter les mouvements latéraux au sein du réseau et à détecter les comportements suspects ou anormaux avant l’exfiltration est possible et constitue généralement un investissement rentable par rapport à la valeur ajoutée réellement perçue. Il est de plus en plus important d’analyser, de prévenir et de signaler des mouvements latéraux sur votre réseau. C’est d’ailleurs le point de départ incontournable pour de nombreuses entreprises disposant déjà de systèmes de défense efficaces.

L’internet des objets est à la mode depuis quelques années maintenant, et nous commençons à voir une connectivité internet accrue dans les entreprises, des systèmes de production aux dispositifs médicaux. Beaucoup de ces appareils sont faciles à pirater, et deviennent donc des cibles vulnérables et idéales pour les pirates (d’ailleurs beaucoup d’entre eux ont probablement encore leur mot de passe par défaut).

Les risques encourus sont peut-être évidents pour vous, ou bien au contraire vous ne voyez pas le problème que ces derniers peuvent poser d’un point de vue de la cybersécurité. Toutefois, lorsque des systèmes critiques sont connectés au réseau, le risque d’activités malveillantes forcées augmente. Nous assistons régulièrement à des attaques DDoS massives menées par des dispositifs IoT compromis, et les mesures de cybersécurité déjà en place peinent à suivre le rythme imposé.

Demandez aux cadres dirigeants quel sera l’impact financier, sur votre entreprise, suite à l’arrêt de ces équipements : Une perte de production ? La perte de la vie d’un collaborateur ? La perte de réputation auprès de vos clients ? Lorsque le système informatique est affecté, votre sécurité peut être compromise. Lorsque la technologie opérationnelle ou l’IoT est affecté, la sécurité des clients, des employés et du public est plus que jamais en danger.

Avoir une vue d’ensemble et transparente sur vos événements réseau peut consolider de nombreux processus analytiques actuellement effectués au sein de différents systèmes (et souvent manuellement !) en parcourant des logs tout en recherchant les informations souhaitées.

Avec un système SIEM, vous aurez la possibilité de superviser les activités du réseau en fonction d’événements provenant d’équipements et de données de flux du réseau, telles que la bande passante, les statistiques, les goulots d’étranglement, les changements de configuration des périphériques réseau, etc. En général, le SIEM favorise l’efficacité, la productivité, l’optimisation des workflows et l’automatisation.

La transparence accrue sur vos activités réseau fournie par la solution SIEM ne permettra pas seulement à votre équipe de cybersécurité de détecter des activités malveillantes ou anormales. En surveillant tous les composants de l’infrastructure et en les associant à vos contrats de maintenance et de service, il peut vous aider à optimiser votre infrastructure informatique afin d’être plus efficace et de vous assurer que vous payez bien pour une prestation qui est correctement réalisée.

Si les quatre arguments précédents ne suffisent pas à attirer l’attention de la direction générale et à intégrer le SIEM dans le programme d’investissement de l’entreprise, abattez alors votre dernière carte : Le risque financier de ne pas prêter attention à la cybersécurité. À ce jour, tout le monde, y compris les équipes dirigeantes, a déjà entendu parler des épidémies de ransomware WannaCry et NotPetya.

L’épidémie WannaCry, qui a duré quatre jours, a détruit plus de 200 000 ordinateurs dans 150 pays, mais la plus coûteuse a été la cyberattaque NotPetya avec un coût estimé à 10 milliards de dollars (environ 8,8 milliards d’euros) au niveau mondial, alors que WannaCry, selon diverses estimations, aurait coûté entre 4-8 milliards de dollars (soit entre 3,5 et 7 milliards d’euros).

Enfin pour conclure, l’étude 2018 sur le coût des violations de données réalisée par le Ponemon Institute indique que le coût moyen d’une violation de données est de 3,86 millions de dollars (environ 3,4 millions d’euros), soit 148$ (à peu près 129€) par enregistrement volé ou perdu. Enfin, le Règlement Général sur la Protection des Données de l’UE entré en vigueur en mai 2018 prévoit des amendes administratives pouvant aller jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires annuel global d’une entreprise, en cas de non-conformité.

Vos équipes dirigeantes devraient être très sensibles à cet argument…