« Une coalition de leaders de la cybersécurité et de l'IT a annoncé un projet open source pour briser les silos de données qui entravent les équipes de sécurité ». Voici comment se présente la communauté qui se rassemble derrière le projet Open Cybersecurity Schema Framework (OCSF), révélé ce 10 août à la Black Hat qui se déroule à Las Vegas. L'initiative est initiée par AWS, Splunk et Symantec (division sécurité de Broadcom) et compte 15 autres membres contributeurs : Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro et Zscaler. Le programme est basé sur un cadre open source existant – le schéma ICD – créé par l’activité sécurité de Symantec, détenue par Broadcom depuis 2019.

Avec ce cadre, les acteurs de l’IT et de la cybersécurité veulent répondre à un besoin croissant au sein des organisations : détecter, enquêter et arrêter les cyberattaques plus rapidement et plus efficacement. « L'OCSF est une norme ouverte qui peut être adoptée dans n'importe quel environnement, application ou fournisseur de solutions et qui s'adapte aux normes et aux processus de sécurité existants. À mesure que les fournisseurs de solutions de cybersécurité intègrent les normes OCSF dans leurs produits, la standardisation des données de sécurité deviendra plus simple et moins contraignante pour les équipes de sécurité » précise le communiqué.

Une coordination des outils de cybersécurité

A ce jour, le transfert de données d’un outil de cybersécurité vers un autre nécessite des tâches manuelles et beaucoup de temps, notamment du fait des formats qui diffèrent de l’un à l’autre. « Les responsables de la sécurité se débattent avec des lacunes d'intégration à travers un ensemble croissant de fournisseurs d'applications, de services et d'infrastructures, et ils ont besoin de données propres, normalisées et hiérarchisées pour détecter et répondre aux menaces à grande échelle », a déclaré Patrick Coughlin, vice-président du groupe dédié à la sécurité chez Splunk. Aujourd’hui, détecter et stopper les cyberattaques nécessite une coordination entre les outils de cybersécurité, mais le manque d’uniformisation et de normalisation des données donne du fil à retordre aux équipes de sécurité. L’OCSF cible ainsi l’amélioration et l’accélération de l'ingestion et l'analyse des données par ces équipes sans les tâches initiales chronophages.

Même si le projet n'a que quelques mois, le standard est prêt à être utilisé par les contributeurs pour créer des connecteurs dans leurs produits. AWS prévoit d'ajouter des connecteurs OCSF dans plusieurs services SecOps, notamment GuardDuty, Security Hub et Inspector. « Avoir une vue holistique des données liées à la sécurité à travers les outils est essentiel » affirme Mark Ryland, directeur adjoint du CISO d’AWS. « En augmentant l'interopérabilité entre les outils, l'OCSF vise à accélérer considérablement la capacité de nos clients à comprendre et à répondre aux problèmes de cybersécurité ». L'inititative sera donc pilotée par des représentants d'AWS et de Splunk et gérée conjointement par une équipe de mainteneurs en collaboration avec les contributeurs. Les initiateurs du projet ont d’ores et déjà publié le code du framework sur GitHub sous une licence open source.