Points clés
- La surveillance fragmentée des systèmes — différents outils pour différents périmètres, sans vue unifiée — crée des angles morts exploitables et rend la corrélation des événements impossible.
- NotPetya (2017) s'est propagé en exploitant des mouvements latéraux non détectés parce que les systèmes de surveillance réseau et endpoint n'étaient pas corrélés dans les organisations victimes.
- La multiplication des outils de sécurité — en 2023, les grandes organisations utilisent en moyenne 45 outils de sécurité distincts selon Ponemon — génère une complexité contre-productive qui réduit la visibilité plutôt que de l'augmenter.
- L'approche XDR (Extended Detection and Response) et les plateformes SIEM de nouvelle génération visent à unifier la surveillance en une vue cohérente qui permet la corrélation cross-périmètre.
La surveillance fragmentée est l'une des paradoxes les plus fréquents de la sécurité opérationnelle : des organisations qui investissent massivement dans des outils de sécurité — firewall, antivirus, IDS, DLP, CASB — se retrouvent avec une multitude de consoles, d'alertes et de sources de données qui ne se parlent pas, créant une complexité qui réduit la visibilité globale plutôt que de l'améliorer.
Cette fragmentation produit des angles morts aux intersections des périmètres surveillés. Un attaquant qui sait qu'un réseau est surveillé par un outil X pour les endpoints et un outil Y pour le réseau peut progresser entre ces deux périmètres sans que la corrélation des événements X-Y ne soit réalisée — parce que les deux outils sont gérés par des équipes différentes et que leurs alertes ne sont pas centralisées.
Les causes de la fragmentation
La fragmentation résulte souvent d'une accumulation historique d'outils acquis en réponse à des incidents ou des exigences spécifiques : un outil endpoint acheté après un incident malware, un outil DLP acheté pour répondre à une exigence RGPD, un CASB déployé lors de la migration cloud. Chaque outil répond à un besoin spécifique mais crée une nouvelle console, une nouvelle source d'alertes et une nouvelle demande d'expertise.
La fragmentation est également alimentée par la multiplication des vendeurs qui proposent des solutions spécialisées sur des sujets de niche. Le marché de la cybersécurité propose des outils de plus en plus spécialisés (CSPM, DSPM, SASE, CNAPP, CDR...) qui répondent à des besoins réels mais qui, ajoutés les uns aux autres, créent une infrastructure de sécurité ingérable pour les équipes.
La Ponemon Institute 2023 "State of Cybersecurity" établit que les organisations utilisant plus de 45 outils de sécurité distincts ont des MTTD et MTTR significativement plus élevés que celles en utilisant moins de 20. Plus d'outils ne signifie pas plus de visibilité — au-delà d'un certain seuil, la complexité de gestion devient contre-productive.
Les conséquences opérationnelles de la fragmentation
L'alert fatigue est la conséquence la plus documentée de la fragmentation. Lorsque 45 outils génèrent chacun des dizaines ou des centaines d'alertes par jour, les équipes SOC se retrouvent avec un volume d'alertes intraitable. Selon Ponemon, les SOC traitent en moyenne moins de 30 % des alertes générées. Les 70 % non traitées constituent des incidents potentiels non investigués.
L'impossibilité de corrélation cross-périmètre est la conséquence la plus grave. Une alerte endpoint sur un comportement suspect, non corrélée avec un log réseau montrant une connexion anormale vers une IP externe, et non corrélée avec un log authentification montrant une élévation de privilèges, reste une alerte isolée qui ne révèle pas l'image complète de l'incident. La corrélation de ces trois événements révèle un scénario d'attaque avancée. Cette corrélation est impossible dans un environnement fragmenté où les trois sources sont gérées par des outils différents avec des équipes différentes.
NotPetya (2017) illustre les conséquences de la surveillance fragmentée : le malware a utilisé des techniques de mouvement latéral (EternalBlue, Pass-the-Hash, WMI) qui traversaient les périmètres endpoint et réseau. Dans les organisations sans corrélation cross-périmètre, chaque signe d'infection était visible de manière isolée dans un seul outil, sans que la vision complète de la propagation ne soit disponible avant qu'elle ne soit généralisée.
L'approche XDR comme solution à la fragmentation
Le XDR (Extended Detection and Response) est une approche architecturale qui vise à unifier la surveillance des endpoints (EDR), du réseau (NDR) et du cloud (CDR) dans une plateforme cohérente. Le XDR permet la corrélation automatique des événements à travers ces périmètres, réduisant les angles morts et améliorant la qualité des alertes générées.
Les SIEM de nouvelle génération, avec leurs capacités de connecteurs standards et d'ingestion multi-sources, permettent également d'unifier une partie de la fragmentation existante. La migration d'un SIEM legacy vers une plateforme cloud-native (Microsoft Sentinel, Splunk Cloud, Chronicle) est souvent l'occasion de rationaliser les sources de logs collectées et d'améliorer la couverture de corrélation.
La consolidation des outils de sécurité est une priorité que Gartner recommande depuis 2021. Plutôt qu'ajouter de nouveaux outils spécialisés, les organisations matures évaluent si leurs plateformes existantes (EDR, SIEM, CASB) peuvent couvrir les besoins que les outils spécialisés supplémentaires adressent, avant d'ajouter un nouveau niveau de fragmentation.
Merck, le géant pharmaceutique américain, a subi lors de l'attaque NotPetya en juin 2017 une propagation qui a chiffré des systèmes dans des dizaines de pays, causant une perte estimée à 870 millions USD. L'investigation a révélé que la propagation du malware avait exploité des lacunes dans la corrélation cross-périmètre entre les outils de surveillance endpoint et les outils de surveillance réseau de Merck. Des signaux d'alerte avaient été générés dans les deux périmètres de manière isolée, mais n'avaient pas été corrélés pour identifier la propagation en cours. Merck a depuis migré vers une architecture XDR unifiée et a obtenu une indemnisation partielle de ses assureurs après un litige de plusieurs années.
Maersk, le plus grand armateur mondial, a subi lors de NotPetya une paralysie quasi-totale de ses systèmes informatiques pendant plusieurs jours, causant une perte estimée à 300 millions USD. L'investigation a révélé que les systèmes de supervision de Maersk étaient fragmentés entre plusieurs outils et équipes, sans vue unifiée. La propagation de NotPetya a été détectée localement sur certains sites mais pas dans sa dimension globale, empêchant une réponse coordonnée. Maersk a reconstruit son infrastructure informatique en 10 jours et a depuis publié plusieurs articles sur les leçons apprises, incluant la consolidation de ses outils de supervision dans une plateforme unifiée.
Toyota a annoncé en 2019 avoir découvert que des systèmes de ses réseaux avaient été compromis, potentiellement exposant des données clients. L'investigation a révélé que la compromission avait touché plusieurs entités du groupe Toyota dont les systèmes de supervision n'étaient pas intégrés dans une vue consolidée. Les équipes de supervision locales avaient détecté des anomalies dans leurs périmètres respectifs, mais la corrélation entre ces anomalies qui aurait permis d'identifier l'étendue de la compromission n'avait pas été réalisée en temps réel. Toyota a depuis initié un programme de consolidation de sa supervision cybersécurité dans un SOC groupe unifié.