Les systèmes de santé utilisent des informations de sécurité et des systèmes de gestion des événements pour gérer les menaces. Ils ingèrent des centaines de sources et chacune génère des alertes, explique Hughes, ajoutant que la plupart de ces alertes sont du bruit.
Parallèlement, pour trier les alertes, il faut savoir que, par exemple, les infirmières qui se connectent et se déconnectent 15 fois par heure ne constituent pas une menace, explique Hughes.
Carter note que la fatigue des alertes peut également entraîner un désengagement, du stress et un roulement de personnel pour les analystes SOC, et que le remplacement de ces analystes fatigués coûte cher et perturbe les opérations, ajoute-t-elle.
Avec tous les points finaux et dispositifs médicaux ainsi que les connexions avec les fournisseurs, les SOC de soins de santé disposent également de l’une des surfaces d’attaque les plus larges de tous les secteurs, selon Carter. Cela ne fait qu’ajouter à la lassitude des analystes.
Comment la gestion continue de l’exposition aux menaces modifie l’équation SOC
Un cadre de gestion continue de l’exposition aux menaces permet aux systèmes de santé d’adopter une approche itérative pour lutter contre les cybermenaces. Cela permet aux SOC de comprendre et de prioriser en permanence les menaces et d’agir en fonction de l’exposition de l’organisation plutôt que de simplement détecter les activités, explique Carter.
« Les modèles SOC traditionnels se concentrent souvent fortement sur la gestion réactive des alertes », explique-t-elle. « CTEM introduit une approche plus stratégique et itérative en aidant les organisations à évaluer, découvrir, hiérarchiser et valider en permanence les expositions, puis à mobiliser des mesures correctives en fonction des risques réels et de la probabilité d’attaque. »
CTEM permet aux SOC de se connecter à un « flux de travail de remédiation plus large », explique Hughes. Cela inclut la gestion des vulnérabilités, les opérations informatiques et les fournisseurs. Cela crée également une boucle de rétroaction comprenant « la portée, la découverte, la correction et la mesure », dit-il.
« Sans cette boucle, les alertes s’accumulent et les mêmes vulnérabilités apparaissent année après année dans les rapports d’évaluation », ajoute-t-il.
Triage assisté par l’IA : soutenir les analystes humains, pas les remplacer
L’un des principaux défis lors du tri des alertes est de décider si elles proviennent d’événements de sécurité identiques ou distincts, explique Taule. Les agents d’IA aident les SOC à « ingérer, corréler et dédoublonner » ces alertes, explique Taule.
De plus, les SOC peuvent effectuer un tri pour alerter les flux en utilisant l’apprentissage automatique avant que les humains ne soient impliqués. Les SOC peuvent « regrouper les événements liés, comparer les modèles aux comportements d’attaque connus, enrichir les alertes avec le contexte des informations sur les actifs et les menaces et évaluer la gravité probable », explique Hughes. Il ajoute qu’avec l’IA, les analystes de sécurité d’un SOC reçoivent une file d’attente contextualisée plutôt que des données brutes submergées.
Étant donné que les décisions en matière de sécurité des soins de santé ont des conséquences sur la santé des patients, cette responsabilité doit incomber aux analystes humains, souligne Hughes.
« L’IA fait apparaître le signal ; les analystes prennent la décision », dit-il.
Grâce à l’IA, les équipes SOC peuvent mettre en contexte de grands volumes de données télémétriques plus rapidement que les humains, explique Carter. Et avec le manque de personnel des équipes SOC, l’IA peut contribuer à améliorer l’efficacité opérationnelle et à réduire les analyses manuelles répétitives, explique-t-elle.
Technologie de la santé