Comprendre la différence entre le SIEM, l’XDR/EDR et le SOAR
Publié dans Cybersécurité
29 février 2024 / Carole Simon
Par : Carole Simon
Partager
Au traditionnel duo “détection/réponse” aux attaques, il est primordial d’inclure une culture de la proactivité et de puissantes technologies (aussi différentes que complémentaires) à une politique de cybersécurité. C’est ce que nous verrons aujourd’hui avec un passage en revue du SIEM, de l’XDR et du SOAR, des outils qui composent le centre opérationnel de sécurité (SOC). Utilisés ensemble, ils permettent d’édifier une stratégie orientée sur la cyber-résilience.
Quelles solutions pour orienter sa stratégie de cybersécurité sur la résilience ?
Qu’est-ce que la résilience ou plutôt… La cyber-résilience ?
En matière de cybersécurité, la cyber-résilience envisage la sécurité informatique au-delà de la détection puis de la riposte à une attaque. Une culture de la résilience va permettre de se demander, non pas si une attaque va survenir, mais plutôt quand elle aura lieu. Il s’agira d’être dans une posture de proactivité et de prévention permanente, et c’est cette nuance qui fera toute la différence.
La résilience au sein d’une politique de cybersécurité va intégrer dans sa philosophie les objectifs suivants : l’anticipation des risques, la capacité de résister aux menaces les plus abouties, de prendre des décisions éclairées et de prévenir les répliques.
Le centre opérationnel de sécurité et ses technologies, nous le verrons, joueront un rôle prépondérant dans cette démarche.
Le rôle proactif du SOC et de ses solutions : SIEM, XDR, SOAR
Pour parvenir à une politique de cybersécurité résiliente, les services et les ressources du Security Operations Center figurent parmi les plus efficaces du marché, si l’on en croit le dernier baromètre du CESIN.
La capacité d’anticiper la survenue d’une attaque, d’investiguer, d’analyser de vastes ensembles de données et de réagir vite sont les plus grandes forces du SOC. En plus d’une équipe d’experts qualifiés, le centre opérationnel de sécurité s’entoure de technologies particulièrement innovantes, utilisant les dernières prouesses du machine learning et l’automatisation. Le SIEM, l’XDR et le SOAR ont chacun une fonction et un champ d'action bien précis, mais utilisés ensemble, ces solutions permettent une véritable défense en profondeur et se révèlent être de précieux alliés pour les équipes IT.
Cas d’étude Blue : Cerfrance Brocéliande ou comment préserver la souveraineté numérique et assurer un haut niveau de protection pour des données sensibles ?
Cerfrance Brocéliande est l’une des nombreuses entités du réseau national Cerfrance, spécialisé dans l’expertise comptable. Concrètement, cela représente 31 agences et 800 collaborateurs. Cerfrance, c’est aussi l’engagement fait à ses 14 000 adhérents de maintenir un hébergement en France, afin de protéger au mieux des données hautement sensibles : données juridiques, bulletins de salaire, etc. Cerfrance a opté pour l'offre SOC de Blue, motivé par la possibilité de corréler les événements avec le SIEM. De plus, l'intégration de l'offre SOAR permet une réponse optimale aux incidents via des playbooks. Enfin, un XDR a été déployé sur les terminaux mobiles et les ordinateurs, couvrant 1400 endpoints, répartis dans plusieurs zones géographiques. La différence de l'offre Blue par rapport aux micro SOC classiques réside dans la présence humaine qui accompagne le processus. L'analyse de la corrélation des événements est appuyée par une compréhension approfondie des habitudes métier, permettant une réponse maximale et adaptée à tout incident potentiel. En outre, les équipes de Blue ont collaboré étroitement avec celles de Cerfrance pour analyser en profondeur les habitudes spécifiques de l'entreprise, définissant ainsi des playbooks très personnalisés.
Retrouvez l’intégralité du cas client Cerfrance Brocéliande
Le SIEM : entre collecte, corrélation et centralisation de l’information
Définition et principes généraux du Security Information Event Management (SIEM)
Le SIEM est une technologie qui a pour but de superviser les événements de l’ensemble d’un système d’information. Il va centraliser et agréger dans un seul et même endroit toutes les activités, données et journaux (logs) relatifs à l'environnement informatique d’une organisation. Il se chargera ensuite de corréler et d’analyser ces différentes informations pour repérer la présence ou non d’une menace. À partir de règles définies en amont par les équipes de sécurité informatique, le SIEM aura les capacités d’estimer si un événement contrevient ou non à une règle établie. Véritable éminence grise de la sécurité, le SIEM est un outil indissociable du SOC.
Les fonctionnalités du Security Information Event Management
Le SIEM entend collecter les logs et les données de toutes les briques et solutions de sécurité du SI. Cela comprend l’XDR et ses composants, les firewalls, les bastions et autres solutions anti-DDoS. Enfin, le SIEM surveille les activités et rassemble les informations de sources extrêmement variées : terminaux, périphériques, réseau, cloud ou encore les applications.
Agrégation, centralisation et stockage
Le SIEM fournit une visibilité très précieuse aux analystes du SOC en centralisant sur une seule plateforme toutes les données en lien avec l’ensemble du SI. En outre, il agence ces informations selon certaines configurations, définies au préalable par les équipes cyber.
Corrélation et analyse poussée
Avant toute chose, le SIEM corrèle et compare en permanence les événements qui ont cours sur les systèmes, avec des normes de sécurité définies en amont par les membres du SOC. L’objectif est de détecter tout ce qui peut sortir de la norme et donc, constituer une anomalie. Un travail d’analyse avancé permet ensuite de définir si cette anomalie cache une réelle menace en devenir.
Reportings, gestion post-incident et investigation
Le SIEM est un outil particulièrement efficace pour traiter la gestion post-incident. Il fournit ainsi des reportings et des tableaux de bord aux équipes de cybersécurité pour les aider à mieux comprendre les origines d’une menace : failles, vulnérabilités, erreurs humaines, etc. Cette fonctionnalité permet ensuite de prendre les mesures correctives appropriées.
L’XDR et ses composants : entre détection, réponse et automatisation
Qu’est-ce que l’XDR ?
L’Extended Detection and Response est une solution logicielle qui a pour vocation de détecter puis de répondre aux ransomwares et autres logiciels malveillants sophistiqués. Il concentre son activité sur les volets détection immédiate et réponse et en temps réel, grâce à des outils d’automatisation et aux algorithmes du machine learning. Certes, il parvient comme le SIEM à corréler certaines informations et produire un premier niveau d’investigation, mais sa force réside principalement dans l’action et la réactivité.
Retour sur le fonctionnement concret de l’XDR
La fonctionnalité détection de l’XDR s'articule de deux manières. Soit, la menace est un malware ou un virus déjà connu. Dans ce cas, l'XDR bloque la signature connue et empêche à l’avance toute attaque et tout dommage.
Soit, la menace est très récente et n’a pas encore été répertoriée en tant que telle. Dans ce contexte, l’XDR active sa fonctionnalité de corrélation de data, couplée à l’analyse comportementale pour identifier en temps réel une activité anormale.
Enfin, le recours à des technologies d’automatisation offre également une très grande qualité et une immédiateté sans précédent dans la réponse aux menaces :
- Isolation d’une flotte ou d’un réseau
- Blocage pour empêcher la propagation,
- Modification automatique des règles du firewall pour protéger le réseau
- Suppression de fichiers contaminés
- Contrôles de sécurité
- Et bien entendu, les incontournables notifications aux experts IT !
Avantages et bénéfices de l’XDR en entreprise
- Détecte les menaces complexes
- Intervient avant tout dommage sur le SI
- Répond aux attaques de manière rapide et automatisée
- Soulage la charge de travail des équipes cyber
- Permet une visibilité étendue sur l’activité d’un SI
- Centralise en une seule console les données collectées par l’XDR et les fonctionnalités sécurité
- S’adapte et évolue en fonction des menaces les plus récentes
- Permet de réduire certains coûts grâce au recours à l'automatisation
Réponse aboutie et investigation en profondeur : comprendre le SOAR
Définition et principes généraux du SOAR
Le SOAR, acronyme désignant le Security Orchestration, Automation and Response, est une plateforme logicielle qui va automatiser la gestion du processus de réponse à incident. Le SOAR va encore plus loin que la fonction réponse, pourtant très performante, de l’XDR. En effet, la solution bloque et répond aux attaques en déployant des scénarios (ou playbooks) automatisés très complets, adaptés à plusieurs types de cyberattaques : le ransomware, le phishing ou encore, la fuite de données.
Pour obtenir un tel niveau de précision et d’acuité, le SOAR révèle son autre facette, l'orchestration. Ce volet clé s'appuie sur toutes les fonctionnalités organisationnelles et de centralisation du SOC, et tout particulièrement du SIEM, qui excelle en la matière. Le SOAR, vous l’aurez compris, s’appuie donc sur les données collectées et analysées par le SIEM.
Orchestration, automatisation et réponse : les piliers du SOAR
Orchestration
L’intégration d’une technologie SOAR dans un SOC permet de franchir un cap supplémentaire en termes de centralisation des data et de surveillance du SI. Le recours au SOAR complète à bien des égards cette mission, traditionnellement dévolue au SIEM.
Aussi, afin d’apporter une visibilité optimale aux collaborateurs cyber et de simplifier davantage la collaboration, le SOAR va réunir dans une plateforme unique :
- Les fonctionnalités de partage, la configuration de divers droits d’accès entre les membres du SOC
- La collecte et le stockage de tous les workflows de données et d’incidents des différents systèmes : issus du SIEM, de l’XDR et d’autres ressources. Un travail de corrélation et d’analyse sera ensuite effectué pour classer ces data en fonction du risque que cela représente et pour nourrir la Threat Intelligence.
- Une surveillance en profondeur 24/7
Réponse et investigation
La réponse à incident s’effectue intégralement sur le SOAR et il n’est plus nécessaire de solliciter les autres outils, car ces derniers sont configurés sur la console du SOAR.
Puisqu’une couche supplémentaire de corrélation et d’analyse est désormais possible, le nombre de faux positifs diminue encore plus et les réponses apportées à chaque incident sont d’une précision sans précédent. Les playbooks et scénarios configurés par les membres du SOC alimentent également cette acuité.
Enfin, une fonctionnalité d'analyse et d’investigation permet de retracer les sources d’un incident et anticipe ainsi la survenue de futures attaques.
Automatisation
Ce dernier pilier va, à l’instar de l’XDR et d’autres technologies, jouer un rôle central pour l'exécution d’opérations courantes, particulièrement chronophages lorsqu’elles sont réalisées manuellement. Au sein du SOAR, l'automatisation va révéler ses capacités lorsqu’elle déclenchera les playbooks et toutes les étapes et procédures de réponse immédiate à incident.
Avantages et bénéfices du SOAR en entreprise
- Automatise les tâches de sécurité courantes
- Réduit les temps de réponse aux menaces et incidents
- Améliore la prise de décision
- Réduit les faux positifs
- Surveillance en profondeur du SI
- Améliore la collaboration et la communication entre les membres du SOC
- Centralise et orchestre toutes les données, outils et accès sécurité du SI et du SOC (SIEM, XDR, etc.)
- Accompagne à la conformité réglementaire
- Alimente la Threat Intelligence
Cas d’étude Blue : OKwind ou comment protéger des données stratégiques et détecter des menaces dans un environnement numérique varié ?
OKwind est un acteur majeur dans le domaine de la génération d'énergie dédiée à l'autoconsommation, tout particulièrement reconnu pour ses trackers solaires. OKwind, c’est donc l’installation de 2000 trackers/ an, 7 agences, 210 collaborateurs et 3200 clients. Leurs enjeux principaux : La protection contre les menaces de leurs données stratégiques (liées au pôle R&D) et la sécurisation d’un environnement numérique varié. OKwind a opté pour l'offre complète du SOC de Blue Cyber, intégrant l'XDR SentinelOne, le Bastion informatique avec Wallix, et le SOC englobant le SIEM et le SOAR. La collaboration étroite avec les équipes de Blue a renforcé la sécurité de l'entreprise et a contribué à sensibiliser la direction, faisant de la cybersécurité une épreuve surmontable et bénéfique pour l'ensemble de l'entreprise.
Carole de Blue
Assistante Marketing chez Blue 🚀
Partager
NIS 2 : Qui est concerné ? Présentation de la Directive (2/4)
La directive européenne NIS 2 interroge. En effet, qui est concerné ?…
NIS 2 : Qu’est-ce que c’est ? Présentation de la Directive (1/4)
NIS 2, vous en avez sûrement déjà entendu parler. Mais à quoi…
Hébergement de données de santé (HDS) : Quelles règles et obligations ?
Avec l’hébergement de données de santé, quelles sont véritablement les règles et…