Défendre les défenseurs : comprendre et prévenir la fatigue des analystes de sécurité

Les professionnels de la cybersécurité occupent les premières lignes de défense dans une ère définie par la technologie et un paysage numérique en constante évolution. Au cœur de la sécurité de nombreuses organisations se trouve le centre d'opérations de sécurité (SOC), généralement dirigé par une équipe d'experts en sécurité. Parmi ces experts, les analystes de sécurité sont les premiers responsables de l'identification, de la détection et de la réponse aux menaces de sécurité. Pour réussir dans ce domaine essentiel, il faut faire preuve de rigueur, d'esprit d'analyse et de sens du détail. Chaque jour, ils doivent passer au crible l'énorme quantité de données générées par des systèmes complexes. C'est d'autant plus difficile qu'il peut y avoir de graves conséquences s’ils passent à côté d'une menace réelle ou s’ils évaluent mal un incident de sécurité. Il n'est pas surprenant que les forces et les compétences de ces professionnels de la sécurité aient souvent un prix : l'épuisement professionnel.

Comprendre l'épuisement professionnel (ou burnout)

Le burnout est une expérience à laquelle pratiquement tout le monde est confronté à un moment ou à un autre de sa vie. Jongler avec les responsabilités familiales, maintenir une vie sociale active, des routines de remise en forme, des considérations diététiques, faire face aux incertitudes habituelles de la vie d'adulte et des engagements professionnels, le tout sur des périodes prolongées, peut conduire au stress. Un stress prolongé pèse sur le bien-être physique, mental et émotionnel et se manifeste par un épuisement professionnel. Les symptômes de l'épuisement professionnel peuvent se manifester sous diverses formes, notamment

• Baisse du niveau d'énergie
• Baisse de motivation
• Perte d'appétit
• Retrait des interactions sociales
• Diminution de la confiance en soi et augmentation du doute de soi
• Sentiment d'être débordé et improductif
• Accès de colère
• Perspective de plus en plus pessimiste

L'épuisement des analystes de sécurité est souvent dû à l'énorme pression exercée par la gestion des enquêtes, la fourniture d'informations précises, le traitement de données complexes, le respect de délais serrés et la gestion d'une charge de travail élevée. Cette situation est exacerbée par la présence de faux positifs, le manque d'informations contextuelles, les ressources limitées et les outils sous-optimaux, qui alourdissent les responsabilités des analystes. Ces facteurs de stress sont monnaie courante dans un domaine qui attire souvent les surdoués et les perfectionnistes. Ces facteurs de stress commencent à s'empiler comme un jeu de cartes et peuvent affecter la santé physique et mentale. Sans s'en rendre compte, ils peuvent avoir un effet d'entraînement sur la vie personnelle et la carrière d'un professionnel de la sécurité et avoir un impact négatif sur lui.

Source : Bitdefender 2023 Cybersecurity Assessment

Plusieurs facteurs dans le travail quotidien des analystes de sécurité contribuent au sentiment d'épuisement. Ces facteurs sont les suivants :

• Faux positifs
  La prévalence d'alertes non malveillantes ou ne donnant pas lieu à une action et le manque d'incidents authentiques peuvent désensibiliser et frustrer les analystes, leur donnant l'impression que leur travail n'a pas de valeur.
• Limites technologiques
Des outils inadéquats ou non optimisés entravent la capacité d'un analyste à répondre efficacement aux alertes. Il peut s'agir d'un manque d'automatisation, d'une télémétrie inadéquate et d'un manque de capacités d'investigation centralisées.
• Manque de contexte
Les analystes doivent souvent procéder à des évaluations rapides des activités avec une télémétrie et des informations contextuelles limitées ou inexistantes, souvent en raison de limitations de la visibilité ou de la fonctionnalité des outils. Ces problèmes sont parfois exacerbés par des lacunes en matière de compétences ou d'expérience.
• Contraintes de ressources
Le manque de ressources peut se traduire par des outils insuffisants, un manque de processus et de procédures, un manque de personnel, une mauvaise communication ou un manque de soutien de la part d'autres équipes, des flux de travail inefficaces et des problèmes de financement.
• Charges de travail élevées
Les analystes sont souvent confrontés à des charges de travail considérables résultant de la génération de rapports, de l'examen de vastes volumes de données, des faux positifs et de la réponse aux communications internes.

Lorsque les analystes souffrent d'épuisement professionnel, leurs performances dans les différents aspects de leur travail quotidien sont compromises. Cela peut conduire à des analyses de qualité médiocre et à un non-respect des processus et procédures établis, créant ainsi un surcroît de travail pour leurs collègues. Dans un domaine où des entreprises de toutes tailles dépendent de la protection du SOC, une analyse précise, opportune et appropriée est d'une importance capitale tant pour les analystes que pour les clients.

Gérer l'épuisement professionnel d'un point de vue individuel

William James, psychologue et philosophe américain, a dit un jour : « La plus grande arme contre le stress est notre capacité à choisir une pensée plutôt qu'une autre ». Cela souligne l'importance de notre réaction au stress et à l'anxiété. Il est essentiel de reconnaître les premiers signes de l'épuisement professionnel, qu'il soit mental, physique ou émotionnel. Une fois identifiés, les symptômes de l'épuisement professionnel peuvent être atténués par les stratégies suivantes :

• Faire des pauses programmées : Faire des pauses régulières loin de l'écran tout au long de la journée.
• Maintenir des habitudes de sommeil : Veiller à ce que les habitudes de sommeil soient adéquates et régulières.
• Avoir des activités physiques : Inclure l'exercice dans les habitudes quotidiennes, même en faisant de courtes pauses pour s'étirer et se promener.
• Poser des congés : Utiliser les vacances pour se détendre et se ressourcer.
• S’adonner à des loisirs : Poursuivre des intérêts non liés au travail pour stimuler la créativité et réduire le stress.
• Avoir une communication “ouverte” : Discuter des difficultés avec ses supérieurs hiérarchiques et envisager, si nécessaire, d'autres modalités de travail.

Chaque personne est différente, et la manière de réduire le stress et d'éviter l'épuisement professionnel varie d'une personne à l'autre. L'essentiel est de repérer rapidement les signes avant-coureurs et de trouver le bon équilibre pour garder le contrôle.

Des soins personnels à la résilience organisationnelle

Chaque analyste et ses responsables doivent veiller à leur bien-être, mais cela ne remplace pas la prise de conscience et la résolution de ce problème par l'ensemble de l'organisation. Il est essentiel de s'attaquer rapidement aux points douloureux et de chercher des améliorations pour maintenir le moral de l'équipe. Voici quelques-unes des approches les plus « rentables » pour y parvenir :

• Les bons outils
Le choix des outils de sécurité joue un rôle essentiel dans la réduction de l'épuisement des analystes. Optez pour des outils qui identifient les menaces avec une grande précision, qui minimisent les faux positifs et qui fournissent des informations exploitables. L'utilisation de plateformes consolidées (telles que Bitdefender GravityZone) est cruciale - les analystes ne devraient pas avoir à jongler avec plusieurs consoles pour effectuer leurs tâches. Une plateforme unifiée simplifie le flux de travail, permettant aux analystes de se concentrer sur la tâche à accomplir sans être distraits par la gestion d'outils disparates.
• L’automatisation
Automatiser les tâches répétitives afin de libérer les analystes pour un travail à plus forte valeur ajoutée, l'affinement des alertes et la formation.
• Les process et procédures
Examiner et ajuster régulièrement les processus et les procédures et organiser des exercices de simulation pour tester les changements.
• La formation
Fournir une formation pour améliorer les connaissances et les compétences, soit par le biais d'un mentorat interne, soit par l'intermédiaire de fournisseurs externes.
• Un management efficace
Un manager proactif qui reconnaît et prend en compte les pressions de l'équipe, en veillant à ce que les défis restent gérables et que le SOC continue à se développer.

Le rôle des services MDR tiers

Dans le paysage en constante évolution de la cybersécurité, l'utilisation de services managés de détection et de réponse par des tiers (MDR) est devenue un impératif stratégique. Ces services ont un double objectif : remplacer les équipes de sécurité les organisations qui manquent d'experts en sécurité et/ou renforcer les équipes de sécurité existantes. Grâce à des actions préapprouvées et à des règles d'engagement bien définies, les clients peuvent exercer un contrôle précis sur la charge de travail de leurs analystes internes, en décidant de la part de responsabilité qu'ils souhaitent déléguer au service MDR tiers.

Source : Bitdefender 2023 Cybersecurity Assessment

Pour les organisations qui n'ont pas les ressources ou les experts en sécurité internes dédiés, les services MDR fournissent une solution complète. Ces services jouent effectivement le rôle de l'équipe de sécurité, en assumant la responsabilité de la protection des actifs numériques de l'organisation. Cela comprend la détection des menaces, la réponse et la remédiation. En externalisant leurs fonctions de sécurité auprès de fournisseurs de services de gestion des menaces, les entreprises peuvent bénéficier d'une expertise spécialisée sans avoir à maintenir une équipe de sécurité interne. Cette option est particulièrement intéressante pour les petites et moyennes entreprises, les startups et les organisations opérant dans des environnements à ressources limitées.

Pour les organisations disposant d'équipes de sécurité bien établies, les services MDR tiers fournissent un moyen d'améliorer et de compléter leurs capacités existantes. En s'associant avec des fournisseurs de services de MDR, ces organisations peuvent renforcer leurs experts internes avec des ressources, des outils et des connaissances supplémentaires. Ce renfort peut s'avérer particulièrement précieux pendant les périodes de forte charge de travail, les weekends, les jours fériés ou en dehors des heures de bureau. Les services MDR deviennent une extension de l'équipe interne, fournissant une couverture 24h/24 et des capacités de détection des menaces. Cette approche permet aux experts en sécurité en place de se concentrer sur les initiatives stratégiques, tandis que les tâches de routine ou à fort volume peuvent être gérées par le service MDR.

L'un des avantages notables des services MDR tiers est la flexibilité qu'ils offrent dans la gestion de la charge de travail. Les clients ont l'autonomie de déterminer l'étendue de leur engagement avec le service MDR, en veillant à ce qu'il corresponde à leurs besoins spécifiques. Grâce à des règles d'engagement bien définies et à des actions pré-approuvées, les organisations peuvent contrôler avec précision les tâches et les responsabilités qui sont déléguées au service MDR et celles qui sont conservées en interne.

Ce contrôle précis permet aux entreprises de trouver le bon équilibre entre l'utilisation de l'expertise externe et le maintien d'un contrôle interne. Il leur permet également de s'adapter à l'évolution des exigences en matière de sécurité, en augmentant ou en réduisant les effectifs en fonction des besoins, sans avoir à recruter, former et intégrer du personnel interne supplémentaire.