animind - Fotolia

« L’échelle des infrastructures modernes dépasse l’humain », Adam Philpott (Cisco)

Pour le responsable ventes sécurité Europe, Moyen-Orient, Afrique et Russie de Cisco, l’automatisation est devenue essentielle aux systèmes de sécurité actuels, de fait d’infrastructures générant trop d’événements pour qu’il soit humainement possible de les traiter.

Cisco a considérablement renforcé son offre de sécurité au cours des récentes années, avec les rachats de Cognitive Security, début 2013, ou encore de ThreatGrid, en mai 2014, et bien sûr de Sourcefire. Dans un entretien avec la rédaction, Adam Philpoot, responsable des ventes sécurité de Cisco pour la région Europe, Moyen-Orient, Afrique et Russie, replace ces opérations dans le contexte plus large d’évolution des menaces.

LeMagIT : Depuis environ un an, la sécurité de l’information semble s’orienter nettement vers une approche centrée sur des méthodes analytiques plus avancées, plus flexibles.

Adam Philpoot : Nous n’utilisons pas une seule méthode d’analyse mais plusieurs. C’est ainsi que nous avons investi dans le Machine Learning il y a plusieurs années, avec le rachat de Cognitive Security, en République Tchèque.

Mais outre la technologie, nous avons également investi dans les personnes. Et je pense là en particulier à Talos, notre organisation dédiée à la recherche sur les menaces. Ses équipes s’appuient sur les importants volumes de données que nous collectons dans le monde entier. Nos équipements bloquent quelques 24 milliards de menaces par jour.

L’identification et la lutte contre les menaces revêt aujourd’hui de multiples facettes.

LeMagIT : Tout l’enjeu du Machine Learning n’est-il pas d’accélérer et d’industrialiser la détection des menaces ?

Adam Philpoot : C’est aussi la question de la réponse et de la rapidité de réaction. Nos efforts de recherche sur les menaces ne sont pas isolés ; ils sont intégrés au reste de notre offre. A chaque fois que l’on identifie une nouvelle menace, tous nos clients en sont immédiatement protégés.

Mais notre objectif est d’aboutir à une architecture intégrée rassemblant tous les composants de la protection de l’infrastructure. Car lorsque ces éléments peuvent discuter ensemble, ils peuvent partager des informations de contexte.

Surtout, on peut utiliser le réseau de deux manières, pour détecter des menaces, mais également s’en protéger. On peut ainsi placer automatiquement en quarantaine un terminal contaminé, pour ne le sortir d’isolement qu’une fois nettoyé.

Ce qui est important, là, c’est de ne pas se reposer sur des capacités humaines pour opérer tout cela. Il est tout simplement devenu impossible pour l’humain d’opérer à l’échelle des infrastructures modernes. L’automatisation de la réaction, au niveau du réseau, en utilisant ces technologies, est devenue essentielle.

Cela dit, il s’agit aussi d’aider les équipes dans les SOC à définir leurs priorités en leur offrant le meilleur de la recherche et du renseignement sur les menaces.

LeMagIT : Pour élever le niveau d’automatisation, il est nécessaire de disposer d’une couche d’orchestration complète, mais également un niveau élevé de visibilité. A multiplier les sondes, ou faire de chaque élément de l’infrastructure un capteur, que reste-t-il comme zones d’ombre ?

Adam Philpoot : De plus en plus de capteurs sont déployés dans le but d’obtenir une visibilité complète. Mais celle-ci reste très fragmentée du fait de l’hétérogénéité même de l’infrastructure. La dépasser demande d’importants efforts. Je connais très peu d’organisations capables de disposer d’une véritable visibilité collective.

Mais au-delà, je pense que l’étape clé consiste à réussir à réagir de manière rapide, intégrée, automatisée. L’intégration réseau est là nécessaire. Et c’est un avantage très exclusif à Cisco.

Au-delà, le terme de zone d’ombre n’est pas celui que j’utiliserais. Je parlerais plutôt de convergence. Et qu’est-ce qui arrive dans l’environnement réseau sur lequel il faudra aussi que l’on ait de la visibilité ? Je pense à l’Internet des objets. La convergence n’est pas encore survenue en masse. C’est la prochaine étape et c’est la direction dans laquelle on avance, à l’échelle de toute l’industrie.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close