Roman Nazarov explique pourquoi les SOC modernes sont en proie au désespoir face à l’accumulation croissante des alertes et à l’évolution rapide des menaces liées à l’IA.
Lors du salon GITEX Africa, Roman Nazarov a détaillé les défis majeurs auxquels sont confrontés les centres d’opérations de sécurité (SOC), soulignant que 97 % des équipes subissent un engorgement massif de leurs alertes, tandis que l’évolution des menaces liées à l’IA et la pénurie de talents entravent une défense efficace.
(CIO Mag) – Lors de sa présentation au salon GITEX Africa au Maroc, Roman Nazarov, responsable du conseil SOC pour les projets SOC externes chez Kaspersky, a analysé, sans concession, l’état actuel des centres d’opérations de sécurité (SOC). Fort de 15 ans d’expérience dans le domaine, M. Nazarov a fait valoir que le recours traditionnel à la seule technologie ne suffit plus à protéger l’entreprise moderne.
Les statistiques présentées par M. Nazarov brossent un tableau difficile pour les équipes de sécurité internes. Citant des recherches sur l’efficacité des SOC, il a noté que 97 % des organisations signalent une augmentation du nombre d’alertes et d’incidents en attente de traitement.
Cette pression persistante a un coût humain considérable : environ 87 % du personnel des SOC éprouve un sentiment de désespoir et a l’impression d’être constamment à la traîne. Le plus inquiétant pour la sécurité à long terme est peut-être que 81 % de ces professionnels craignent de ne jamais pouvoir résorber leur retard.
Selon M. Nazarov, plusieurs facteurs clés sont à l’origine de cette crise. La surface d’attaque s’étend à mesure que les entreprises migrent vers le cloud et les conteneurs, ce qui réduit souvent la visibilité critique. Parallèlement, les barrières à l’entrée pour les cybercriminels s’abaissent. « L’IA facilite l’accès aux attaquants », a averti M. Nazarov, évoquant une nouvelle ère où les attaques et les vulnérabilités basées sur l’intelligence artificielle deviennent la norme.
Malgré ces évolutions technologiques, de nombreux SOC restent figés dans leur approche. « Une grande partie des opérations de sécurité reste axée sur la technologie », a observé M. Nazarov, « alors que la maturité se définit par les processus ».
Une part importante des difficultés techniques concerne la gestion de la télémétrie. Alors que les volumes de données augmentent chaque année, la visibilité reste un goulot d’étranglement majeur. M. Nazarov a souligné que la plupart des données collectées restent actuellement inutilisées. Les données issues de sa présentation indiquent que la couverture de détection varie considérablement en fonction des types de sources de télémétrie.
Alors que certains systèmes atteignent une couverture de 60 %, de nombreux SOC gérant entre 5 et 30 sources de télémétrie différentes constatent que leur couverture effective est limitée. Il a insisté sur le fait que « la détection par défaut n’est plus une option », faisant de l’ingénierie de détection dédiée une exigence incontournable pour une résilience moderne.
Pour combler ces lacunes, M. Nazarov a préconisé une transition vers des modèles opérationnels plus sophistiqués. Cela inclut l’intégration de la Cyber Threat Intelligence (CTI) et de la Threat Hunting (TH) proactive dans le workflow standard de traitement des alertes. En exploitant l’IA pour la vérification initiale des alertes et le filtrage des faux positifs (FP) aux niveaux L1 et L2, les analystes seniors peuvent se concentrer sur les incidents à haute criticité.
M. Nazarov a noté que de nombreuses équipes ne disposent actuellement pas de définitions claires de la criticité des incidents, héritant souvent de paramètres génériques de leurs solutions SIEM qui ne sont jamais adaptés au contexte spécifique de leurs systèmes.
L’efficacité ne peut être améliorée sans mesure, mais de nombreux SOC n’ont actuellement « rien à mesurer » en raison d’un manque de rapports et de métriques concrètes. Pour remédier à ces problèmes systémiques, les projets de conseil de Kaspersky se concentrent sur la gouvernance des SOC, les évaluations techniques et les exercices pratiques tels que le « purple teaming » et les simulations.
M. Nazarov a conclu en exhortant les entreprises africaines à dépasser la détection ponctuelle et à donner la priorité à un modèle de maturité axé sur les processus. Cette transition est essentielle, car le volume des tâches de sécurité continue de croître bien plus rapidement que les capacités des équipes internes.
Depuis Marrakech
