Pourquoi l'automatisation de la sécurité est l'avenir du SOAR

Analyse du guide Gartner 2022 sur le marché SOAR

Gartner® Research a récemment publié son Guide du marché 2022 des solutions d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). Son analyse porte sur la technologie SOAR : “ En tant que technologie spécialisée, la SOAR continue de gagner en maturité, mais reste un marché relativement de niche. Elle est progressivement intégrée à d'autres marchés tels que le SIEM, le XDR et le MDR. ”

Après avoir lu des informations sur SOAR, trois idées m'ont particulièrement marqué :

1. SOAR, tel qu'il a été historiquement défini, est un marché de niche et les fournisseurs sont rachetés.

2. Certains fournisseurs SOAR ont évolué pour proposer une automatisation de la sécurité à faible code qui s'étend au-delà des cas d'utilisation des centres d'opérations de sécurité (SOC).

3. L'avenir du SOAR réside dans les solutions d'automatisation de la sécurité qui offrent flexibilité et une véritable neutralité vis-à-vis des fournisseurs. Il étendra les cas d'utilisation au-delà des capacités du SIEM ou du XDR.

Pour bien comprendre ces observations, il est utile d'analyser le passé, le présent et l'avenir du marché SOAR.

Comment SOAR a vu le jour

L'industrie de la sécurité a débuté avec des technologies SOAR basiques, conçues spécifiquement pour automatiser les flux de travail des SOC, comme la détection du phishing, l'enrichissement et le tri des alertes. Bien que ces cas d'usage restent les plus courants aujourd'hui, les solutions SOAR traditionnelles s'adressent généralement à des segments de niche du marché de la sécurité. Cela s'explique en grande partie par la réputation de rigidité des procédures et les importantes ressources de développement nécessaires aux solutions SOAR. C'est pourquoi leur adoption est restée principalement cantonnée aux équipes de sécurité les plus importantes et les plus expérimentées.

Au fil des ans, les fournisseurs fondateurs de la catégorie SOAR ont suivi deux voies principales : soit ils ont innové pour répondre aux besoins futurs de l’automatisation de la sécurité, soit ils ont été rachetés. Plus récemment, L'acquisition de Siemplify par Google cela a mis en évidence la valeur future de l'automatisation de la sécurité et a renforcé la position de leader de Swimlane en tant que plus grand fournisseur indépendant mondial de solutions d'automatisation de la sécurité.

Qu'est-ce que l'automatisation de la sécurité ?

Beaucoup pensent que l'automatisation de la sécurité est synonyme de SOAR, mais en réalité, il existe des différences importantes entre ces deux approches. Dans la plupart des cas, SOAR se limite à un petit nombre de cas d'usage destinés exclusivement aux analystes SOC de niveau 1, comme le tri des alertes de phishing ou la vérification de la réputation des indicateurs de compromission (IOC) des alertes SIEM. Bien que ces cas d'usage soient précieux et permettent aux équipes de gagner un temps considérable au quotidien, leur portée et leur impact restent limités.

L'automatisation de la sécurité, à l'inverse, rassemble des groupes de personnes, des processus et des technologies généralement cloisonnés afin de mener des opérations de sécurité plus efficaces, performantes et évolutives pour une part beaucoup plus large de l'équipe de sécurité et de ses objectifs. Elle y parvient grâce à l'utilisation de technologies low-code qui étendent le champ d'application de l'automatisation, de l'orchestration et du rôle de système d'information au-delà des cas d'usage des centres d'opérations de sécurité (SOC), permettant ainsi à un large éventail d'acteurs des domaines DevOps, AppSec, de la chasse aux menaces, de la protection de la vie privée, de l'audit, de la conformité et bien d'autres. 

Bien que les cas d'usage SOAR classiques, tels que la lutte contre le phishing et le tri des alertes, restent populaires, l'automatisation de la sécurité apporte également une valeur ajoutée en résolvant les problèmes de surcharge de données et de pénurie de talents pour les équipes spécialisées dans la fraude, la gestion des vulnérabilités et les questions juridiques et de conformité. Selon le rapport, “ certains clients utilisent désormais les capacités d'automatisation et d'orchestration dans des cas d'usage non axés sur la sécurité, car il existe des recoupements avec les cas d'usage d'automatisation d'entreprise généralement fournis par les plateformes d'applications low-code. ”

La prochaine génération d'automatisation de la sécurité

La troisième conclusion est que l'avenir du SOAR offrira une valeur ajoutée supérieure à celle du SIEM et du XDR grâce à une plus grande flexibilité et une approche indépendante de l'environnement. Selon nous, les fournisseurs de solutions d'automatisation de la sécurité qui y parviendront et domineront le marché de demain devront s'appuyer sur trois tendances émergentes.

• Le Big Data exige une automatisation massive : Historiquement, les technologies SOAR n'ont pas été évaluées en fonction de leur débit ou de leur puissance de traitement. Cela changera avec la prochaine génération de solutions d'automatisation de la sécurité, car les clients exigent de plus en plus une automatisation capable d'intégrer des sources de télémétrie plus nombreuses et plus difficiles d'accès.

• Intégration avec tout : Face à l'expansion continue de la surface d'attaque, les équipes de sécurité doivent s'intégrer à des éléments qui ne sont pas traditionnellement intégrés du point de vue des opérations de sécurité, tels que le cloud, l'IoT et l'informatique de périphérie.

• Automatisation démocratisée : L'automatisation de la sécurité a le potentiel de résoudre une multitude de problèmes, mais elle ne pourra jamais atteindre son plein potentiel si elle reste une compétence réservée aux professionnels de la sécurité les plus hautement qualifiés. L'automatisation de la sécurité low-code change la donne, la rendant plus accessible et permettant aux experts du domaine de devenir des acteurs de l'automatisation, sans compromis sur la puissance ou les performances.

Pour en savoir plus sur la prochaine génération de solutions d'automatisation de la sécurité à faible code, Consultez ce livre blanc de présentation du produit pour comprendre comment Swimlane Turbine procède.

GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et à l'international, et est utilisée ici avec leur autorisation. Tous droits réservés.
Gartner ne cautionne aucun fournisseur, produit ou service mentionné dans ses publications de recherche et ne recommande pas aux utilisateurs de technologies de choisir uniquement les fournisseurs les mieux notés ou ayant reçu une autre distinction. Les publications de recherche de Gartner reflètent les opinions de son organisation Recherche et Conseil et ne doivent pas être interprétées comme des faits avérés. Gartner exclut toute garantie, expresse ou implicite, relative à cette recherche, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.

Guide d'achat pour l'automatisation de la sécurité moderne

Les équipes SOC d'entreprise reconnaissent la nécessité de l'automatisation, mais rencontrent souvent des difficultés avec les solutions d'automatisation elles-mêmes. Les solutions SOAR (Security Orchestration, Automation and Response) nécessitent généralement un développement important en scripts. Les solutions d'automatisation sans code sont simplistes et ne proposent pas les fonctionnalités essentielles de gestion des incidents et de reporting. Ce guide analyse le large éventail de plateformes d'automatisation de la sécurité disponibles aujourd'hui, afin de vous aider à identifier la solution la mieux adaptée à vos besoins. 

Télécharger