Comment UiPath automatise les opérations de cybersécurité pour une défense plus intelligente contre les menaces

Lorsqu'ils planifient l'année à venir, les directeurs informatiques (CIO) donnent la priorité à la cybersécurité afin de protéger leur organisation contre des menaces de plus en plus sophistiquées.

L'étude State of the CIO Study 2022 de Foundry rapporte que "tout au long de l'année à venir, les DSI concentreront leur temps et leur expertise sur la gestion de la sécurité. 76 % prévoient que leur implication dans la cybersécurité augmentera au cours de l'année prochaine, et 51 % déclarent qu'ils se concentrent actuellement sur la gestion de la sécurité dans leur rôle. " L'augmentation des capacités de travail à distance et la pénétration des solutions numériques pendant la pandémie ont fait peser davantage de problèmes de cybersécurité sur les équipes de sécurité.

Les professionnels de la sécurité peuvent actuellement utiliser diverses applications d’intelligence artificielle (IA) pour les outils d’opérations informatiques (AIOps) et d’opérations de sécurité (SecOps) afin d’améliorer continuellement la posture de sécurité de leurs organisations. Mais ces outils ne permettent pas d’automatiser les opérations de sécurité de bout en bout. Chaque jour, un ingénieur en cybersécurité peut passer beaucoup de temps :

• Définir et appliquer des règles et politiques de sécurité pour tous les domaines de l'infrastructure/de l'environnement

• Analyser les menaces, surveiller les vulnérabilités et atténuer les attaques

• Effectuer des audits de sécurité continus et suivre le contrôle d'accès aux ressources critiques

La lassitude face aux alertes reste un problème

Une équipe ne peut gérer qu'un nombre limité d'alertes avant qu'elles ne commencent à être manquées.

Une enquête a révélé que « plus d'un tiers des responsables de la sécurité informatique et des analystes de la sécurité ignorent les alertes de menace lorsque la file d'attente est pleine ».

Grâce à ses activités d'automatisation informatique, UiPath offre des capacités d'opérations de sécurité robustes, faciles à utiliser, indépendantes du fournisseur. Cet article explique ces fonctionnalités et comment elles permettent une orchestration, une automatisation et une réponse de sécurité (SOAR) à grande échelle.

Cycle de vie de l'identité

Dans la plupart des entreprises, les analystes informatiques gèrent les profils d'utilisateurs, les rôles et les contrôles d'accès des employés. Certaines de leurs activités peuvent inclure le provisionnement des utilisateurs, l'ajout/suppression d'accès aux applications, la réinitialisation des mots de passe des utilisateurs et le déverrouillage des comptes d'utilisateurs.

UiPath dispose d'une automatisation de l'interface utilisateur (UI) et d'une intégration API avec les principaux outils de gestion des accès aux identités (IAM), tels que Microsoft Azure AD, pour automatiser les activités de gestion des identités telles que celles décrites ci-dessus.

Combiné avec des capacités d'interface utilisateur et d'API s'étendant au domaine de la gestion des services, un robot UiPath peut également surveiller les tickets de gestion des services informatiques (ITSM). Le robot peut démarrer des tâches en fonction du déclencheur défini, effectuer les actions de gestion des utilisateurs nécessaires, mettre à jour le ticket ITSM et informer l'utilisateur de la résolution.

Ces robots peuvent être intégrés à des chatbots et à des plateformes de communication comme Slack pour offrir une expérience conversationnelle en temps réel aux employés. Le diagramme suivant explique le flux du processus de gestion des utilisateurs :

UiPath utilise-t-il UiPath ?

Absolument ! Nous automatisons les processus décrits dans le paragraphe ci-dessus en interne.

En automatisant les activités de gestion des utilisateurs, notre équipe ITOps a pu réduire sa charge de travail de plus de 15 %. De plus, le temps moyen de traitement des tickets ITSM est passé de deux heures par ticket à seulement deux minutes par ticket. Cela se traduit par une diminution de 98 % du temps consacré à la résolution des tickets, libérant ainsi l'équipe pour des tâches plus complexes.

Nous disposons également d’un chatbot IT Service Desk intégré à Slack. Le chatbot offre aux employés une expérience conversationnelle sans contact humain et résout les activités de gestion des utilisateurs et des licences en quelques minutes sans avoir besoin de faire appel au personnel du service d'assistance.

Détection et prévention des menaces

Un autre objectif clé pour les professionnels de la sécurité concerne les activités de détection et de prévention. Selon une étude récente d'IBM, « les organisations dotées d'une stratégie d'automatisation de la sécurité « entièrement déployée » ont eu un coût moyen de violation de 2,90 millions de dollars, tandis que celles qui ne disposaient d'aucune automatisation ont subi plus du double de ce coût, soit 6,71 millions de dollars. »

UiPath étend les capacités d'automatisation de la sécurité des outils d'opérations de sécurité existants. Grâce aux capacités d'automatisation basées sur les événements, un robot UiPath peut être déclenché à partir de la détection et de la réponse des points de terminaison (EDR), de la détection et de la réponse étendues (XDR), de la gestion des informations et des événements de sécurité (SIEM) ou d'autres outils de surveillance de la sécurité pour effectuer des actions correctives.

Étant donné que les outils de surveillance de la sécurité identifient un indicateur de compromission (IoC), ils peuvent ne pas avoir la capacité d'effectuer des actions sur les systèmes réseau tels que les pare-feu en raison d'une intégration d'API manquante ou de problèmes de routage. Dans ces cas, l'analyste de sécurité doit effectuer manuellement des actions telles que le blocage des adresses IP dans les systèmes de pare-feu.

De même, les analyseurs de sécurité peuvent effectuer des évaluations des règles de pare-feu, mais ne peuvent pas désactiver ou supprimer les règles de pare-feu ou de traduction d'adresses réseau (NAT) et les objets NAT. Un robot UiPath peut effectuer ces actions manuelles à l'aide des capacités d'interface utilisateur et d'API pour n'importe quel produit grâce à nos capacités d'automatisation indépendantes du fournisseur. 

Qu'en est-il du phishing par courrier électronique ?

Nos robots peuvent automatiquement mettre en quarantaine les fils de discussion et déclencher des actions correctives. Certains des domaines de détection et de prévention des menaces qui peuvent être automatisés à l'aide d'UiPath sont :

• Contrôles de détection

• Triage des menaces potentielles

• Correction automatisée

• Gestion des vulnérabilités

• Protection des points de terminaison

Nous utilisons ces automatisations en interne pour gérer les alertes d'attaque par force brute générées à partir de sources telles qu'Azure Security Orchestration. Nous bloquons également plus de 20 000 attaques par force brute chaque année à l'aide de nos propres automatisations.

UiPath peut aider à automatiser les processus qui touchent plusieurs systèmes. Par exemple, dans la vidéo de démonstration ci-dessous, UiPath ouvre des tickets pour les principales vulnérabilités du système. Le robot utilise quatre systèmes d'entreprise :Tableau, Tenable, ServiceNow et SharePoint – pour mener à bien le processus.

Réponse aux incidents

Même les meilleurs outils organisationnels capables de détecter et de prévenir les menaces de sécurité ne sont pas infaillibles. Les incidents de sécurité se produisent fréquemment et la gestion de la réponse aux incidents est le véritable test de la robustesse d'une équipe de sécurité.

Le timing est essentiel en cas de violation. L'étude IBM susmentionnée confirme que les investissements dans les activités de réponse aux incidents réduisent les coûts des violations, affirmant que « les entreprises disposant d'une équipe de réponse aux incidents qui ont également testé leur plan de réponse aux incidents ont eu un coût moyen des violations de 3,25 millions de dollars, tandis que celles qui n'avaient ni l'une ni l'autre en place ont connu un coût moyen de 5,71 millions de dollars (représentant une différence de 54,9 %.)"

Voici quelques activités que votre équipe de sécurité peut automatiser dans le cadre de la réponse aux incidents : 

• Supprimez ou mettez en quarantaine les fichiers suspects infectés par des logiciels malveillants

• Effectuer une recherche de géolocalisation sur une adresse IP donnée

• Rechercher des fichiers sur un point de terminaison particulier

• Bloquer une URL sur les appareils de périmètre

• Mettre en quarantaine un appareil du réseau

• Récupérer des informations sur tous les utilisateurs compromis

Ces activités contribuent à accélérer les mesures correctives et à standardiser les processus de réponse aux incidents.

Audit et conformité

Toutes les organisations doivent effectuer divers audits et garantir la conformité aux normes de l'industrie telles que SOX, HIPAA et GDPR. Dans le cadre d'un audit, les équipes doivent collecter des preuves, cartographier les informations et effectuer des tests et des évaluations des contrôles. Vous pouvez automatiser bon nombre de ces activités, notamment liées au contrôle général informatique, en :

• Extraire une liste de tous les utilisateurs AD par groupes, appartenances à des rôles et propriétés de ressources 

• Valider la séparation des tâches entre les processus de développement et de déploiement d'applications

Nous ne nous contentons pas d'aider aux audits :nos robots peuvent également surveiller les besoins de conformité. Au lieu d'attendre les activités d'audit annuelles, les robots peuvent arrêter de manière proactive toute défaillance de contrôle et alerter les responsables respectifs.

UiPath Robot peut vous avertir automatiquement en cas de violation de conformité. Par exemple, l'utilisation d'informations de santé susceptibles d'identifier une personne (appelées informations de santé protégées) n'est pas autorisée ou autorisée en vertu de la règle de confidentialité de la conformité HIPAA. Cela réduit le risque que de simples erreurs ou oublis fassent dérailler les efforts de conformité. 

La plate-forme d'automatisation UiPath facilite également les mécanismes de reporting internes. Les parties prenantes peuvent rassembler les informations nécessaires, générer des rapports complets et diffuser ces documents aux parties concernées plus rapidement et plus facilement qu'auparavant.

Nous utilisons des robots en interne pour les tests de conformité SOX et la collecte de preuves via de multiples automatisations, notamment plus de 2 000 rapprochements de licences. Nous fournissons également des éléments probants pour évaluer l'exhaustivité, l'exactitude et l'existence de plus de 1 000 factures enregistrées dans notre système NetSuite.

Packs d'activation de sécurité et partenariats produits

Outre les capacités natives d'intégration de l'interface utilisateur et de l'API d'UiPath, nous proposons divers packs d'activités et packages de flux de travail prédéfinis pour relancer l'automatisation de vos opérations de sécurité. Ces packages prêts à l'emploi par glisser-déposer sont faciles à comprendre et à utiliser.

UiPath entretient également des partenariats stratégiques avec des plateformes de sécurité majeures telles que CyberArk, CrowdStrike et eSentire. Les robots UiPath peuvent s'intégrer nativement à CrowdStrike pour permettre la détection et la réponse des points de terminaison avec Falcon Insight. L'intégration avec eSentire permet l'automatisation des politiques de sécurité de bout en bout sur plusieurs services de sécurité Microsoft.

Consultez notre récent article de blog et notre livre blanc pour découvrir comment UiPath automatise d'autres domaines informatiques, notamment les opérations et le développement.