Pour Kaufmann, les services gérés constituent une première ligne de défense. Le fournisseur peut assurer une surveillance 24 heures sur 24 et est habilité à répondre aux menaces sans réveiller le personnel de sécurité d’Amedisys au milieu de la nuit.
Outre des réponses immédiates aux incidents de sécurité, une relation avec un fournisseur de services gérés peut donner aux organisations un avantage en matière de recrutement, explique Kaufmann.
« Il ne s’agit pas simplement de recruter du personnel pour doter un centre d’opérations de sécurité », dit-il. « Vous pouvez investir dans des employés à un niveau supérieur. Vous pouvez embaucher des ingénieurs avancés. Vous pouvez faire appel à une expertise pour développer une stratégie de sécurité à l’échelle de l’entreprise.
Comment le SIEM aide-t-il à détecter les cyberattaques ?
Les directives de l’IRS suggèrent que les organisations évaluant les systèmes SIEM devraient rechercher une analyse automatisée des données, des alertes en temps quasi réel, des informations exploitables et un temps de montée en puissance rapide qui nécessite peu de formation.
Ces capacités sont importantes étant donné la sophistication croissante des cyberattaques, explique Gregory. Alors qu’il fallait autrefois des mois pour obtenir un accès via des attaques par force brute qui étaient relativement faciles à détecter, les attaquants d’aujourd’hui peuvent pirater une identité en quelques secondes. « Ils collectent des renseignements et accèdent aux bons comptes pour s’approprier les privilèges », ajoute-t-il.
Ces attaques s’étendent souvent sur plusieurs ressources, explique Allie Mellen, analyste principale chez Forrester. Par exemple, un attaquant peut cibler une application basée sur le cloud, accéder à un identifiant d’employé, accéder au point de terminaison associé à cet identifiant, puis se déplacer latéralement à travers le réseau.
« Cela implique de nombreux contrôles. Vous avez besoin d’une image globale, et non d’alertes sur des activités individuelles », explique Mellen. À cette fin, les organisations bénéficient également de l’analyse du comportement des utilisateurs, qui crée des profils d’employés ou d’appareils interagissant avec le réseau afin de détecter les comportements inhabituels susceptibles d’indiquer une attaque.
Pour obtenir de telles informations, les systèmes SIEM nécessitent une intégration étroite avec les outils de sécurité. Après tout, explique Abraham, une plateforme SIEM ne peut envoyer que des alertes liées aux données qu’elle reçoit. Si ces connexions n’existent pas par défaut, un fournisseur SIEM peut les ajouter sur demande, ou les équipes de sécurité peuvent les créer elles-mêmes.
