Data Insider

Qu’est-ce que le SOAR?

Qu’est-ce que le SOAR?

Les technologies d’orchestration, d’automatisation et de réponse de sécurité, ou SOAR, permettent aux entreprises d’observer, de comprendre, de décider et d’agir face aux incidents de sécurité, et ce depuis une seule interface.

Gartner a inventé ce terme pour décrire la convergence des plateformes d’orchestration, d’automatisation et de réponse aux incidents de sécurité (SIRP) et des plateformes de renseignements sur les menaces (TIP). Les abréviations peuvent semer la confusion : le SOAR est parfois appelé SA&O, même si une véritable plateforme SOAR dépasse l’automatisation de sécurité (SA) et l’automatisation et orchestration de sécurité (SA&O) en intégrant une fonction complète de réponse aux incidents.

Le SOAR est destiné à révolutionner les opérations de sécurité, et en particulier la façon dont les équipes de sécurité gèrent, analysent et prennent en charge les alertes et les menaces. Sans une forme ou une autre d’automatisation, les analystes de sécurité sont nécessairement confrontés à un nombre croissant de cyberattaques émises par des acteurs malveillants toujours plus sophistiqués.

Les analystes de sécurité sont chargés de gérer des milliers (et parfois des millions) d’alertes, ce qui signifie qu’ils doivent faire le tri entre celles qui doivent être prises au sérieux et imposent une action, et celles qui peuvent être ignorées. La réponse aux incidents et le rétablissement peuvent prendre des jours, voire plus ; et encore faut-il disposer d’une équipe assez nombreuse et qualifiée. Globalement, le secteur est confronté à une grave pénurie de talents en cybersécurité.

À la lumière de ces circonstances, il se peut que votre équipe de sécurité souffre d’une fatigue due au déluge d’alertes. Elle risque de ce fait d’ignorer des menaces réelles et de faire un nombre croissant d’erreurs en s’efforçant de gérer les problèmes rapidement et à la volée.

C’est là que le SOAR entre en jeu. Pour résumer, les plateformes SOAR éliminent les tâches de routine qui occupent tout le temps de vos administrateurs grâce à l’automatisation, tout en offrant des capacités d’orchestration des infrastructures de sécurité pour les rendre plus productifs. Elles leur permettent de gérer davantage d’incidents, d’investiguer les problèmes les plus importants en profondeur, et de renforcer considérablement la position de sécurité globale de votre entreprise.

Dans cet article, nous allons explorer les différentes composantes du SOAR, dont l’automatisation et l’orchestration de sécurité, ainsi que ce qui les distingue les unes des autres. Nous allons également comprendre l’importance du SOAR et comment exploiter tout le potentiel de votre solution.

Analyste | Splunk est n°1 du Magic Quadrant Gartner pour le SIEM

Vue d’ensemble du SOAR

Qu’est-ce que l’automatisation de la sécurité ?

L’automatisation de la sécurité, ou SA, est l’exécution par une machine d’actions de sécurité ayant le pouvoir, par programmation, de détecter, investiguer et prendre en charge les cybermenaces sans intervention humaine.

La SA fait l’essentiel du travail de votre personnel de sécurité, lui évitant de parcourir et traiter manuellement toutes les alertes qui surviennent. L’automatisation de la sécurité peut :

  • Détecter les menaces dans votre environnement.
  • Trier les menaces potentielles en suivant les étapes, les instructions et le workflow décisionnel employé par les analystes de sécurité pour enquêter sur un événement et déterminer s’il s’agit bien d’un incident.
  • Déterminer s’il faut agir en réponse à l’incident.
  • Contenir et résoudre le problème.

Tout cela peut se faire en quelques secondes, sans aucune implication de personnel humain. Les analystes de sécurité sont libérés de ces actions répétitives et chronophages, ce qui leur permet de se concentrer sur des tâches plus importantes et à plus grande valeur ajoutée.

soar

Qu’est-ce que l’orchestration de sécurité ?

L’orchestration de sécurité, ou SO, est la coordination, par des machines, d’une série d’actions de sécurité interdépendantes sur une infrastructure complexe. Elle veille à ce que tous les outils de sécurité – mais aussi des outils d’autres types – fonctionnent de façon coordonnée, tout en automatisant les tâches sur de multiples produits et workflows.

La SO coordonne l’investigation, la réponse et la résolution des incidents. De plus, elle évite aux analystes de sécurité d’avoir à naviguer entre différents écrans et systèmes, compilant toutes les informations en un même lieu pour les afficher sur un tableau de bord global.

L’orchestration de sécurité peut :

  • Apporter du contexte sur les incidents de sécurité. Un outil d’orchestration de sécurité agrège les données de différentes sources pour délivrer des renseignements plus approfondis. Vous obtenez ainsi une vision complète de tout votre environnement.
  • Permettre des investigations plus approfondies et plus pertinentes. Les analystes de sécurité peuvent arrêter de gérer les alertes et commencer à enquêter sur les causes profondes des incidents. De plus, les outils d’orchestration de sécurité s’accompagnent généralement de tableaux de bord, de graphiques et de chronologies hautement interactifs et intuitifs, et ces visualisations peuvent s’avérer extrêmement utiles au cours du processus d’investigation.
  • Améliorer la collaboration. L’implication d’acteurs externes – analystes de niveaux différents, responsables, directeur technique et autres dirigeants, équipes juridiques et RH – peut également être nécessaire dans certains types d’incidents de sécurité. L’orchestration de sécurité peut mettre toutes les données requises à la portée de tous les intervenants, pour plus d’efficacité dans la collaboration et la résolution des problèmes.

Finalement, l’orchestration améliore l’intégration de vos défenses et permet à votre équipe de sécurité d’automatiser des processus complexes et d’optimiser le potentiel de vos équipes, processus et outils de sécurité.

Quels sont les principaux cas d’usage du SOAR ?

L’approche la plus intelligente, avant de commencer à parler de plateforme SOAR avec des fournisseurs, consiste à réfléchir à la façon dont votre entreprise va utiliser la solution. Les scénarios d’utilisation doivent correspondre aux points d’achoppement les plus critiques et déterminer de quelle manière vous exploiterez au mieux cette technologie.

Les scénarios d’utilisation classiques dépendent fortement de votre secteur d’activité. Voici quelques exemples qui vous aideront à réfléchir à la façon dont vous pouvez utiliser le SOAR dans votre entreprise.

  1. Lutter contre les cyberattaques avec la réponse automatique aux incidents : les types et les degrés d’incidents de sécurité peuvent varier, et certains secteurs en souffrent plus que d’autres. Par exemple, si les attaques par hameçonnage sont en hausse partout, le secteur de la santé en particulier a observé une explosion des cas, ciblant principalement le vol d’identifiants dans les bases de données des hôpitaux.

    Le secteur du détail fait face à des niveaux sans précédents d’attaques par ransomware, et dans celui de la fabrication, les réseaux de contrôle de production vulnérables sont de plus en plus souvent exploités par des pirates.

    Les plateformes SOAR peuvent détecter et examiner automatiquement les sources de ces types d’attaques. Elles peuvent par exemple détecter et examiner un e-mail suspecté d’hameçonnage, en rechercher d’autres exemplaires dans le réseau, les mettre en quarantaine ou les supprimer, et bloquer les adresses IP et les URL associées pour empêcher ces messages malveillants d’atteindre la boîte de réception d’un employé.

    De plus, les plateformes SOAR savent contenir les menaces avant que des malfaiteurs ne mettent la main sur des données confidentielles en faisant passer les temps de réponses de plusieurs heures à quelques minutes.
  2. Recherche des menaces: les équipes de sécurité passent chaque jour plusieurs heures à traiter un déluge d’alertes, ce qui leur laisse rarement du temps pour la recherche des menaces, les investigations et l’élaboration d’une stratégie d’amélioration à long terme. Avec l’automatisation, une grande part des menaces couramment rencontrées est traitée instantanément, ce qui laisse aux équipes de sécurité le temps de s’impliquer dans des projets pouvant améliorer la sécurité globale du réseau.

    Dans l’industrie des services financiers, par exemple, les institutions enregistrent environ 2000 attaques par minute, et les cas de violation et de vol de données sensibles ont triplé au cours des cinq dernières années. Avec l’automatisation, une grande part de ces attaques peut être prise en charge immédiatement, offrant ainsi aux analystes de sécurité la possibilité de corriger les vulnérabilités et de compliquer la tâche des pirates qui cherchent à accéder aux informations confidentielles.
  3. Tests de pénétration : près de 40 % des entreprises ne réalisent pas de tests de pénétration réguliers ou n’en effectuent aucun, selon l’enquête État de la sécurité informatique 2019 d’eSecurity Planet. Les plateformes SOAR peuvent automatiser des activités comme la découverte des actifs, la classification et la hiérarchisation des cibles, ce qui permet aux équipes de sécurité d’opérationnaliser leurs efforts de tests de pénétration.
  4. Amélioration globale de la gestion des vulnérabilités : avec une solution SOAR, l’équipe de sécurité peut trier et gérer adéquatement le risque introduit par les nouvelles vulnérabilités découvertes au sein de votre environnement. Elles peuvent donc adopter une approche plus proactive en collectant automatiquement des informations supplémentaires sur les points faibles et en les explorant de façon approfondie, tout en mettant en place les protections nécessaires pour éviter les failles et d’autres attaques.

Quelle est la différence entre l’automatisation et l’orchestration ?

L’automatisation de sécurité cherche à simplifier vos opérations de sécurité et à les rendre plus efficaces, tandis que l’orchestration connecte tous vos outils de sécurité pour qu’ils s’informent les uns les autres.

L’automatisation et l’orchestration de sécurité sont souvent employés de façon interchangeable, mais les deux plateformes remplissent en réalité des fonctions très différentes. Entre autres choses, l’automatisation de sécurité réduit le temps nécessaire pour détecter et traiter les incidents répétitifs et les faux-positifs, pour un traitement rapide des alertes. Elle libère également le temps des analystes de sécurité pour leur permettre de se concentrer sur des tâches stratégiques comme les recherches d’investigation. L’automatisation de sécurité est toutefois limitée car chaque procédure ne traite qu’un scénario connu, auquel on applique une suite d’actions définie.

L’orchestration de sécurité, d’autre part, facilite le partage des informations et permet à de multiples outils de répondre aux incidents de concert, même lorsque les données sont réparties sur un vaste réseau et sur de nombreux systèmes et appareils. L’orchestration de sécurité utilise plusieurs tâches automatisées pour exécuter un processus ou un workflow exhaustif et complexe.

Pour résumer, l’automatisation gère un ensemble de tâches uniques, tandis que l’orchestration connecte et accélère le processus du début à la fin. Elles livrent tout leur potentiel lorsqu’elles travaillent de concert, et les groupes de sécurité peuvent optimiser leur efficacité et leur productivité en adoptant les deux.

Qu’est-ce qui distingue le SOAR du SIEM ?

Si la plupart des solutions SOAR sont déployées conjointement aux solutions de gestion des événements et des informations de sécurité (SIEM), elles n’ont pas le même rôle.

Les systèmes de SIEM sont des systèmes centralisés qui offrent une visibilité totale sur l’activité de votre réseau et vous permettent ainsi d’identifier les menaces en temps réel. Ils collectent, lisent et catégorisent les données relatives à la sécurité d’une grande diversité de sources en quelques secondes, puis les analysent pour produire des renseignements sur les comportements inhabituels qui vous permettront d’agir.

Comme le SOAR, il fait un travail qui serait impossible à réaliser manuellement. De plus, comme le SOAR, le SIEM agrège les données d’événement de sources disparates au sein de votre infrastructure réseau: serveurs, systèmes, appareils et applications, du périmètre à l’utilisateur final. Contrairement à une plateforme SOAR, une solution SIEM sert de dépôt de données de sécurité et fournit un moyen efficace de rechercher, corréler et analyser toutes les données disponibles.

Il est intéressant de constater que, comme le SIEM et le SOAR se complètent, de nombreux fournisseurs proposent les deux et elles pourraient, à terme, fusionner en une seule et même plateforme.

Comprendre l’importance du SOAR

Votre équipe de sécurité est probablement submergée dans un océan d’alertes, qui sont en grande partie des faux-positifs ou des répétitions d’alertes déjà observées. Une équipe de sécurité traite en moyenne jusqu’à 175 000 alertes par semaine. Au cœur de tout ce bruit se cachent des menaces réelles qui risquent de ne pas être prises en charge si les analystes de sécurité doivent les traiter manuellement une à une.

C’est là que le SOAR peut faire une différence de poids, en allégeant une grande part de ces tâches répétitives et triviales pour permettre à votre équipe de sécurité de se concentrer sur un travail plus important.

Le SOAR vous permet de :

  • Intégrer les outils de sécurité, des opérations IT et d'informations sur les menaces (threat intelligence). Vous pouvez connecter toutes vos solutions de sécurité – y compris des outils provenant de fournisseurs différents – pour atteindre un niveau supérieur de collecte et d’analyse des données. Les équipes de sécurité n’ont plus à jongler entre un éventail de consoles et d’outils.
  • Tout visualiser en un seul et même endroit. Votre équipe de sécurité dispose d’une console unique qui fournit toutes les informations dont elle a besoin pour explorer et corriger les incidents. Elle n’a qu’un seul outil à consulter pour accéder à toutes les informations nécessaires.
  • Accélérer la réponse aux incidents. Les SOAR ont démontré leur capacité à réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). Comme une grande partie des actions est automatisée, un pourcentage important des incidents peut être traité immédiatement et automatiquement.
  • Limiter les opérations chronophages. Le SOAR réduit considérablement les faux-positifs, les tâches répétitives et les processus manuels qui prennent le temps des analystes de sécurité.
  • Accéder à de meilleurs renseignements. Les solutions SOAR agrègent et valident les données des plateformes de renseignements sur les menaces, des pares-feux, des systèmes de détection des intrusions, des SIEM et autres technologies, pour fournir à votre équipe de sécurité des renseignements plus détaillés et un contexte plus riche. Elles facilitent ainsi la résolution des problèmes et l’amélioration des pratiques. Les analystes sont mieux armés pour effectuer des investigations plus approfondies ou plus vastes si des problèmes surviennent.
  • Améliorer les rapports et la communication. Quand toutes les activités des opérations de sécurité sont réunies en un même endroit et affichées dans des tableaux de bord intuitifs, les parties prenantes ont accès à toutes les informations dont elles ont besoin, et notamment à des indicateurs clairs qui leur permettent d’identifier des moyens d’améliorer les workflows et de réduire les temps de réponse.
  • Optimiser les capacités de prise de décision. Comme les plateformes SOAR offrent de nombreuses fonctionnalités comme des procédures prédéfinies, des fonctions de création de procédures par glisser-déposer et une hiérarchisation automatisée des alertes, les plateformes SOAR cherchent à être conviviales, même pour les analystes de sécurité les moins expérimentés. De plus, un outil SOAR peut rassembler des données et fournir des renseignements permettant aux analystes d’évaluer plus facilement les incidents et de prendre les mesures nécessaires pour les corriger.

Pour bien démarrer

Comment rentabiliser le SOAR au maximum ?

Comme avec tous les outils de sécurité, la véritable valeur du SOAR réside dans la façon dont vous l’utilisez. Toutefois, les étapes à suivre avant de déployer l’outil revêtent également une grande importance. Suivez ces bonnes pratiques pour exploiter toute la valeur de votre investissement dans une plateforme SOAR :

  1. Établissez des priorités. Il est préférable de commencer par évaluer les domaines dans lesquels l’automatisation peut être efficace, spécifiquement pour votre entreprise, puis de les hiérarchiser. Envisagez les choses dans leur ensemble, identifiez les incidents qui se produisent le plus souvent et ceux dont l’exploration et la résolution nécessitent le plus de temps. Définissez ensuite vos scénarios d’utilisation en fonction de votre secteur et des objectifs de votre entreprise, et créez une liste de vos usages du SOAR. Impliquez des parties prenantes de vos opérations de sécurité dans l’identification des scénarios d’utilisation, même si vous ne pensez pas les implémenter dans l’immédiat. Garder ces priorités en tête lors du choix du fournisseur vous permettra de sélectionner une plateforme utile à long terme.
  2. Développez vos procédures. Il est important de documenter les étapes, les instructions et les bonnes pratiques pour résoudre les incidents efficacement et veiller à ce que votre équipe de sécurité suive un processus cohérent et reproductible à chaque fois. Lors de l’élaboration de la liste de priorités pour le développement des procédures, commencez par celles qui éliminent les tâches répétitives qui font perdre le plus de temps à l’équipe.
  3. Dressez l’inventaire de vos outils, applications et API. Vous devez vous assurer que le fournisseur que vous choisirez prend en charge tous les outils que vous utilisez actuellement. Parallèlement à cela, évaluez l’efficacité de ces outils pour vous. Souvenez-vous que la performance d’un produit SOAR dépend directement des données que vous lui fournissez, donc demandez-vous si vous devez mettre à niveau d’autres parties de votre infrastructure de sécurité avant de le déployer.
  4. Formez vos équipes. Non seulement vous devez former votre personnel pour qu’il sache utiliser efficacement le logiciel d’automatisation, mais aussi pour qu’il puisse traiter les incidents complexes que le logiciel ne peut résoudre. Lorsque des alertes nécessitent une intervention humaine, votre équipe doit posséder l’expertise et la confiance nécessaires pour les gérer.
  5. Profitez du temps qui se libère. L’automatisation rend les équipes de sécurité plus productives et leur donne l’opportunité d’en faire plus pour l’entreprise. Planifiez la façon dont vos analystes vont se concentrer sur des tâches à valeur ajoutée au bénéfice de toute l’entreprise : par exemple, mener une investigation approfondie sur les causes profondes des attaques d’hameçonnage que vous subissez constamment. De plus, l’automatisation va créer de nouveaux rôles au sein de l’entreprise : utilisez le temps que vous venez de libérer pour élaborer un modèle d’amélioration permanente et former le personnel à la conception, la mise en œuvre et l’amélioration des logiques d’automatisation.
  6. Ne vous attendez pas à des miracles du jour au lendemain. Plutôt que de chercher à utiliser chaque capacité du SOAR dès le départ, il vaut sans doute mieux démarrer en douceur. Commencez simplement en vous concentrant sur les domaines critiques, et augmentez le niveau de sophistication au fil du temps, pour atteindre progressivement le plein potentiel de la plateforme en minimisant les perturbations.

Comment prendre un bon départ avec le SOAR ?

Si vous êtes prêt à améliorer vos opérations de sécurité globales avec le SOAR, l’étape suivante consiste à chercher le bon outil SOAR. Voici les capacités que vous devez rechercher :

  • Des rapports faciles à interpréter. Vous avez besoin de visualiser vos données d’événements et vos outils de gestion des opérations de sécurité au sein d’une vue consolidée. Cette image globale vous permet de comprendre rapidement ce qui se passe sur le réseau, analyser les problèmes et décider des étapes suivantes.
  • Modification des tableaux de bord. Vous voulez afficher les données sous la forme la mieux adaptée aux besoins de votre entreprise.
  • Mise en file d’attente et hiérarchisation automatiques des alertes. Pour résumer, vous avez besoin de savoir sur quelles tâches travailler en priorité, sans avoir à faire des recherches approfondies.
  • Des informations d’alertes organisées. Les données – adresses IP, noms de domaine, hashes de fichiers, noms d’utilisateur, adresses e-mail et autres données utiles – doivent être organisées de façon à ce que les analystes de sécurité puissent les interpréter immédiatement.
  • Flexibilité et simplicité de la création et de la gestion des procédures. Idéalement, il vous faut une plateforme qui vous permette d’élaborer des procédures sans nécessiter aucun code. Recherchez une solution offrant à la fois des procédures prédéfinies et des options pour personnaliser et élaborer les vôtres à l’aide de l’éditeur de votre choix. Vous souhaiterez également pouvoir organiser et grouper des procédures de façon optimisée pour votre entreprise.
  • Intégration de vos outils d’administration et d’exploitation. Il s’agit des actifs de sécurité et d’infrastructure tels que les pares-feux, les produits de terminaux, les services de réputation, les sandboxes, les services de répertoire et les SIEM.
  • Directives incorporées. Certaines plateformes intègrent, dans leur interface, des assistants intelligents qui suggèrent des pistes d’investigation, de circonscription et d’élimination des incidents, voire de rétablissement. Cette fonctionnalité est extrêmement utile pour les analystes de sécurité fraîchement recrutés.
  • Évolutivité. Vous avez naturellement besoin que les capacités de la plateforme puissent évoluer avec votre entreprise.

Pour résumer

Le SOAR peut optimiser vos opérations de sécurité

Vous avez l’opportunité de donner à votre équipe de sécurité les moyens de réaliser l’impossible : tenir le rythme du flot incessant d’alertes de sécurité qui sont le fléau des environnements informatiques complexes. En libérant votre équipe de la gestion des faux-positifs, des alertes répétitives et des avertissements à faible risque, le SOAR vous permet de passer d’une posture réactive à une approche plus proactive. Au lieu d’éteindre des incendies, les analystes de sécurité peuvent faire meilleur usage de leur talent et leurs vastes qualifications et améliorer la position de sécurité globale de votre entreprise.