39% des dirigeants informatiques craignent un incident majeur en raison de charges de travail excessives

Lucas Morel

Les dirigeants informatiques craignent que les pénuries de personnel continu face à l’escalade des charges de travail ne se traduisent par un événement qui se réprimandait. Les spécialistes de la sécurité soulignent le recyclage et d’autres techniques pour aider à atténuer le problème.

Les équipes des opérations de sécurité des entreprises se retrouvent minces et affirmaient aujourd’hui avec un paysage cyber-menace croissant. Beaucoup sont en sous-effectif et sous-financés, laissant les cisos à la pointe des conséquences pour l’entreprise – et leur carrière.

Une récente enquête d’Adaptavist sur les retombées de la panne de crowdsstrike de l’été dernier a révélé que deux dirigeants informatiques sur cinq (39%) «avertissent que des charges de travail excessives» pourraient conduire à un incident majeur pour leurs entreprises. « La guerre en cours pour les talents informatiques exacerbe probablement ces questions », ont conclu les écrivains de l’enquête.

John Price, PDG de la société de sécurité basée à Cleveland, Subrosa, a souligné la réalité que de nombreux CISO et leurs équipes sont actuellement confrontés.

« Le volume des alertes, couplé à la complexité des surfaces d’attaque moderne, a créé un état de dépassement presque constant pour de nombreux professionnels de la sécurité », a-t-il déclaré. «Nous opérons toujours dans un état d’esprit de sécurité réactif. Dans certains cas, une cyberattaque réussie peut être le moteur de l’obtention du budget dont vous avez besoin. »

Couper (et déléguer) Bloat de charge de travail

Compte tenu de cette situation, les spécialistes de la sécurité encouragent les CISO à considérer de nouvelles façons d’engager leurs équipes surdimensionnées – et à les aider à rester vives.

L’un des moyens les plus efficaces de minimiser les risques de sécurité lorsque vous travaillez avec des ressources sous-optimales et des gens est de «triage strictement ce que fait votre équipe», a déclaré Jim Boehm, associé expert de la société de conseil McKinsey.

« Cela équivaudrait à une gestion solide de la demande », a déclaré Boehm, suggérant que les tâches d’équipe qui pourraient être rejetées pourraient inclure des réunions d’examen du conseil d’architecture et de «chasser les choses pour un audit interne».

«Pourquoi avoir quatre ou cinq personnes dans une réunion d’une heure (révision) où ils vont simplement discuter?» Demanda Boehm. «Je préfère qu’ils examinent la posture de sécurité d’une acquisition potentielle. Il s’agit de jeter un aperçu des risques sur tout, pas seulement vos actifs et vos contrôles, mais ce que font vos employés. »

Le BOEHM a également suggéré d’embrasser les mécanismes de lob à double incapacité au sein de DevSecops. Idéalement, cela pourrait aider à réduire les problèmes de sécurité en formant des collègues non sécurité dans la pensée de la sécurité.

«Les développeurs, par exemple, détestent être considérés comme des ingénieurs. Ils détestent la constriction. Ils veulent être des artistes (et livrer) aucune documentation », a déclaré Boehm.

L’argument à ces développeurs, a déclaré Boehm, serait: «» Si vous adoptez cela, l’équipe de sécurité vous dérangera moins. Si vous vous composez pendant six mois, nous supprimerons même le besoin d’une équipe d’examen des menaces de sécurité. Vous transformez efficacement ces développeurs en personnes pseudo-sécurité. Si je peux leur apprendre à faire cela, alors je ne dois le faire qu’une seule fois. »

Une telle formation fournira également un retour sur investissement significatif pour ces développeurs, a-t-il déclaré. La «sortie des développeurs augmente, leur délai de marché augmente. C’est une incitation puissante. »

Construire un meilleur banc – et garder le personnel vif

Jess Burn, analyste principal de Forrester, a déclaré que les CISO devaient parfois aller à l’encontre du grain – par exemple, insistant sur le fait que les jours de vacances sont pris même lorsque les postes vacants rendent l’équipe de sécurité particulièrement petite. Mais pour le faire, ils doivent être stratégiques sur la structure de l’équipe, a-t-elle ajouté.

«Vous devez encourager votre personnel clé à prendre un congé, et la seule façon de le faire est de vous assurer que vous avez formé d’autres personnes à intervenir. Vous devez créer un banc, surtout en ce qui concerne Vos intervenants incidents », a déclaré Burn. «Vous ne pouvez pas avoir votre noyau de trois ou quatre personnes ayant une brèche ou un incident, puis vous attendez à ce qu’ils travaillent de 18 à 20 heures et leur jettent des pizzas pour les faire avancer. Vous devez vous assurer que vous avez de bonnes personnes pour intervenir.

La taille de l’équipe peut rétrécir pour diverses raisons, c’est pourquoi Burn soutient que les rôles de sauvegarde en double sont essentiels.

« C’est juste une bonne pratique dans l’ensemble pour créer un banc pour tous vos rôles critiques dans votre organisation, car vous perdrez inévitablement des gens à cause de l’épuisement professionnel ou de la retraite ou simplement une meilleure offre d’ailleurs », a déclaré Burn. «Vous devriez donc penser à des choses comme la planification de la relève et montrer aux gens qu’il existe un chemin pour l’avancement au sein de votre propre organisation, ce qui aide à nouveau à la rétention et atténue l’épuisement professionnel parce qu’ils voient la valeur que vous placez sur eux comme un contributeur individuel. « 

Kayne McGladrey, membre senior de l’IEEE et CISO Field chez Hyperproof.io, a souligné l’importance de prendre des mesures pour maintenir le moral lorsque les ressources sont minces ou que les charges de travail deviennent intenables.

« Les employés submergés peuvent se décourager, conduisant à un nihilisme de sécurité, où ils estiment que les violations sont inévitables et renoncent au maintien des mesures de sécurité », a déclaré McGladrey. «Cela peut entraîner un manque de communication sur les menaces potentielles, ce qui rend plus difficile pour les équipes de sécurité de réagir efficacement.»

Il a poursuivi: «Les CISO peuvent aider à résoudre les charges de travail excessives en mettant en œuvre des vérifications régulières avec les employés pour comprendre leurs sentiments et leurs intérêts, ce qui peut aider à redistribuer les tâches et à (augmenter) la satisfaction au travail. Ils peuvent également encourager l’expansion des compétences en permettant aux membres de l’équipe d’acquérir de nouvelles compétences et d’obtenir une pause dans les tâches de routine. Et donner accès aux ressources de santé mentale, telles que les applications de méditation ou la thérapie en ligne, peut soutenir le bien-être de l’équipe et atténuer les effets des charges de travail excessives. »

Ne pas le faire peut mettre des équipes de sécurité dans une position doublement vulnérable, car de nombreux attaquants cherchent à créer un sentiment de siège pour les submerger et les confondre, a déclaré Tanium Cio Erik Gaston.

« La gestion des charges de travail excessives peut être un grand défi pour les équipes de sécurité d’aujourd’hui, en particulier lorsque les attaquants les submergent avec un bruit excessif, perturbant leur capacité à surveiller, détecter et répondre efficacement et répondre à de réelles menaces », a-t-il déclaré. «En générant de grands volumes de faux positifs et de bruit artificiel dans les systèmes de gestion de vulnérabilité et les plates-formes SIEM, les attaquants ont un moyen viable de confondre les cyber-équipes avec l’intention de masquer l’attaque malveillante réelle ou sous-jacente.»

Gaston a déclaré que les telles tactiques les plus courantes qu’il a observées comprennent «les systèmes d’inondation de ce qui serait considéré comme des actions à faible risque» et «envoyant de grands volumes de charges utiles inoffensives mais potentiellement suspectes à travers des systèmes ressemblant à de vrais vecteurs d’attaque. Ils peuvent se présenter sous forme de force brute, de DDOS, de faux mouvements latéraux, d’exfiltration de données et de tunneling, entre autres. »