CYBERSÉCURITÉ
Security Orchestration, Automation and Response SOAR
Le SOAR (Security Orchestration, Automation and Response) permet d’automatiser la gestion des menaces en cas d’incident de sécurité et limite les failles dans le processus…
NOS RÉFÉRENCES
Samsic
Axereal
Legendre
Lahaye
Savéol
Kelio
Définition du SOAR
Le sigle anglais SOAR (Security Orchestration, Automation and Response) que l’on pourrait traduire par Orchestration, automatisation et réponse aux incidents de sécurité informatique décrit les technologies qui permettent de protéger les systèmes informatiques contre les menaces et améliorent l’efficacité et la productivité du Centre Opérationnel de Sécurité (SOC).
La « naissance » de SOAR en tant qu’acronyme est généralement attribuée à la société de recherche Gartner, qui l’a utilisé pour décrire des technologies qui rassemblent des informations de sécurité provenant de divers outils et sources et qui met en place une automatisation de certaines tâches et opérations dans la gestion des menaces en cas d’incident. Il peut être également employé sous d’autres sigles tels que AIRO (Security Analytics, Intelligence, Response, and Orchestration) pour IDC ou SAO (Security Automation and Orchestration) pour Forrester.
Le SOAR utilise des flux de travail et des playbooks afin d’automatiser les opérations répétitives, d’assurer une analyse cohérente des menaces et de guider les analystes en sécurité vers la bonne décision.
Comment fonctionne le SOAR ?
Le SOAR est un outil indispensable pour le SOC et offre trois caractéristiques essentielles : la gestion des cas et des workflows, l’automatisation des tâches et le partages des informations sur les menaces.
1. La gestion des cas et des workflows
Les systèmes SOAR vont collecter tous les incidents et les données (dont celles du SIEM qui assure la surveillance globale d’une infrastructure sur différents systèmes, applications on-premise ou cloud) en un seul et même endroit, sur lequel il stocke, analyse et corrèle les différentes données afin de générer une threat-intelligence qui sera disponible pour le SOC. Grâce à cette gestion des données, les analystes en sécurité disposent d’un aperçu complet et cohérent des menaces auxquelles ils sont confrontés. Les systèmes SOAR vont également prioriser les alertes, et ainsi, permettre aux analystes sécurité d’utiliser les ressources plus efficacement et de répondre aux incidents plus rapidement.
2. L’automatisation des tâches et la centralisation de l’accès
Le SOC met en place une multitude de procédures pour gérer les incidents. Si l’équipe devait traiter et analyser manuellement les données, le temps perdu serait considérable et la résolution des failles de sécurité retardée. D’autant plus que la main d’œuvre d’experts sécurité se fait rare. Grâce à l’automatisation des flux de travail, la solution SOAR va accélérer la réponse aux incidents . Il guide les analystes en sécurité vers la bonne réponse via des playbooks prédéfinis.
3. L’interrogation et le partage des informations sur les menaces
Le SOAR (Security Orchestration, Automation and Response) investigue automatiquement les données d’alerte du SIEM et celles émanant d’autres systèmes de sécurité, puis recommande ensuite une réponse. Libre aux analystes d’approuver la recommandation ou non. Toutes les informations sont clairement mises en avant, tout comme les décisions recommandées sur la façon d’agir. Attention néanmoins, un SOAR ne remplace pas les professionnels de la sécurité, mais complète leurs compétences et leur permet de se concentrer sur des failles plus importantes.
Quels sont les avantages d’un SOAR ?
Les avantages des technologies SOAR se mesurent en temps, en efficacité et en fiabilisation des process, avec notamment :
- La diminution des alertes de sécurité redondantes et des faux positifs.
- Une amélioration de la capacité des équipes à détecter les incidents, et ce, de façon plus efficace et plus rapide. Les analystes sont confrontés à un grand nombre d’alertes, l’automatisation permet d’enrichir les incidents de renseignements sur les menaces ce qui leur permet de résoudre rapidement les attaques ou de se focaliser sur des tâches plus critiques.
- Des processus enrichis et fiabilisés : une plateforme SOAR intègre des outils de sécurité, aidant à centraliser, normaliser et adapter les processus. Elle corrèle automatiquement les alertes de sécurité signalées par votre SIEM avec les flux de renseignements sur les menaces pour trouver des indicateurs malveillants, ou intègre l’analyse des logiciels malveillants dans les incidents après leur isolation dans une sandbox.
- La diminution des failles de sécurité : la détection rapide des menaces permet de réduire la probabilité que votre entreprise soit confrontée à une faille de sécurité ainsi que les coûts inhérents à l’apparition d’une faille. Selon une étude de Redhat, la détection et le contrôle des failles de sécurité en 200 jours ou moins réduisent le coût moyen d’une faille de 1,22 million de dollars en moyenne.
Pourquoi mettre en place un SOAR ?
Dans la majorité des cas, les entreprises ne disposent pas de suffisamment d’experts en sécurité, ni de ressources suffisantes pour se passer du Security Orchestration, Automation and Response (SOAR). De nombreuses alertes ne peuvent pas être traitées à temps et beaucoup passent entre les mailles du filet, laissant ainsi les équipes de sécurité avec d’importants backlogs et beaucoup de stress à gérer.
Pendant ce temps, votre entreprise est constamment sous la menace d’une cyberattaque. C’est pour cette raison qu’il est important de questionner votre équipe d’experts sur l’importance ou non de l’utilisation d’une solution SOAR. Dans la majorité des cas, elle est indispensable. Comme nous l’avons vu, elle améliore la capacité du SOC à détecter, investiguer et répondre rapidement aux cyberattaques.
Une entreprise est composée de nombreux services qui doivent accéder aux données (data) selon des procédures d’exploitation variées. L’accès se fait via différents outils tels que des ERP (Enterprise Resource Planning), serveurs de fichiers qui peuvent être dans l’infrastructure de l’entreprise ou dans le cloud. Le SOAR apporte des « playbooks » dédiés aux spécifications des différents métiers permettant une remédiation adéquate.
Quelles solutions SOAR choisir ?
La majorité des solutions SOAR ont des playbooks qui fournissent des instructions basées sur des pratiques et des procédures éprouvées. L’utilisation des playbooks garantit la cohérence, la conformité, une identification plus rapide, fiable et la correction des incidents. Il est important de choisir la solution en fonction de vos problématiques, services et de votre budget. Vous pouvez vous faire guider par des comparatifs comme Gartner par exemple.
Nos experts cyber ont opté pour la solution QRADAR d'IBM, un choix fondé sur sa solide réputation et son classement élevé dans les analyses du Gartner. Cette plate-forme est basée sur l’apprentissage automatique avec des capacités améliorées de détection des menaces et de réponse aux incidents. Elle peut être installée sur site en tant que service MSSP ou modèle de déploiement Security as a Service (SaaS).
Les équipes bénéficient d’une plateforme unique avec la possibilité d’automatiser les opérations, d’ajouter des renseignements, d’améliorer la collaboration et de traiter les menaces plus rapidement et efficacement.