Rapport Gartner SOAR : “ Analyse des innovations en matière d’orchestration, d’automatisation et de réponse en matière de sécurité ”

Même un fan occasionnel de la série originale Star Trek vous est familier, avec la réplique culte de Scotty : “ Je ne peux pas, Capitaine ! Je n'en ai pas le pouvoir ! ” Ou encore, sa fameuse phrase : “ Je ne peux pas changer les lois de la physique ! ” Le dilemme de Scotty résonne sans doute aujourd'hui chez les équipes de sécurité opérationnelle (SecOps). D'après le dernier rapport Gartner Innovation Insight sur l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR), “ les équipes de sécurité opérationnelle peinent à gérer le déluge d'alertes de sécurité généré par un arsenal toujours plus vaste de technologies de détection des menaces ”.”

Tout n'est cependant pas perdu. À l'instar de Scotty, ils peuvent trouver une solution à ce combat qui semble apparemment insurmontable. Un esprit d'espoir se dégage du nouveau rapport. Les équipes SecOps peuvent adopter de nouvelles pratiques et de nouveaux outils pour une prévention, une détection et une réponse plus efficaces aux cybermenaces.

Qu'est-ce que SOAR ?

SOAR représente Une nouvelle méthode performante pour améliorer la sécurité opérationnelle. Gartner recommande aux organisations de mettre en œuvre SOAR afin d'améliorer l'efficacité et la cohérence de la réponse aux incidents en orchestrant et en automatisant la gestion du renseignement sur les menaces, la gestion des événements de sécurité et les processus de sécurité opérationnelle.

Gartner estime que d'ici 2020, 151 millions d'organisations de sécurité comptant au moins cinq professionnels de la sécurité adopteront SOAR. Cela représente une augmentation par rapport au taux d'adoption actuel, inférieur à 11 millions.

SOAR est avant tout une question d'action. Cet acronyme signifiait autrefois “ Security Operations, Analytics and Reporting ” (Opérations de sécurité, Analyse et Reporting). Cependant, Gartner a remplacé “ Reporting ” par “ Réponse ”. Le reporting est désormais indispensable. Tous les outils SOAR doivent le proposer pour être efficaces, car une réponse rapide à un incident de sécurité est primordiale.

Pourquoi SOAR et pourquoi maintenant ?

Le rapport Gartner a confirmé l'idée qu'il y a trop d'alertes de sécurité et pas assez de personnel pour les traiter. Sans orchestration de sécurité centralisée ni capacités de réponse aux incidents, les équipes SecOps sont contraintes de collecter et de compiler manuellement les informations sur les menaces. De ce fait, les professionnels de la sécurité travaillent à partir de procédures manuelles spécifiques à chaque incident. Cette tâche peut s'avérer fastidieuse et chronophage. Cela réduit considérablement le temps qu'ils pourraient consacrer à la recherche proactive de cybermenaces et à la défense de leur réseau.

Ces circonstances favorisent l'adoption et l'influence croissantes des solutions SOAR. Gartner estime que d'ici 2020, 151 millions d'organisations de sécurité comptant au moins cinq professionnels de la sécurité adopteront les solutions SOAR. Ce chiffre représente une augmentation par rapport au taux d'adoption actuel, inférieur à 11 millions. Comme le souligne le rapport : “ Face à un paysage de menaces de plus en plus hostile, conjugué à un manque de personnel, d'expertise et de budget, les organisations se tournent vers les technologies d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). ”

Que contient le dernier rapport Gartner SOAR ?

Gartner décrit de manière assez exhaustive le SOAR et ses composantes fonctionnelles dans son rapport. L'accent est mis sur les avantages et les cas d'utilisation courants du SOAR. Gartner formule également des recommandations aux entreprises concernant l'utilisation ou la mise en œuvre d'outils SOAR et conclut par une liste de fournisseurs représentatifs, dont Swimlane. L'étude distingue les concepts clés du SOAR, notamment l'automatisation et l'orchestration de la sécurité, la gestion des incidents, la collaboration, les tableaux de bord et le reporting.

Les principales recommandations du rapport sont les suivantes :

• Commencez par une approche simple où l'automatisation peut être facilement mise en œuvre et où les organisations constateront un retour sur investissement immédiat, notamment une réduction du temps moyen de détection (MTTD) et du temps moyen de résolution (MTTR).
• Concentrez-vous sur l'automatisation des tâches et l'orchestration de la réponse aux incidents.
• Exploiter les renseignements sur les menaces externes pour améliorer l'efficacité des technologies de sécurité et des processus de réponse aux incidents.

Voie de nage et SOAR

Swimlane permet la mise en œuvre des principes SOAR décrits dans le rapport Gartner. Il automatise les opérations de sécurité pour les équipes d'entreprise. Swimlane permet aux analystes de sécurité d'automatiser les tâches répétitives telles que la collecte de données, la production de rapports et la gestion des faux positifs. Un tableau de bord de gestion SecOps dédié assure le suivi de toutes les tâches de sécurité de l'entreprise et offre un accès centralisé aux incidents, rapports, tableaux de bord et indicateurs pour les individus et les équipes.

C’est là l’essence même de SOAR. Swimlane concrétise l’automatisation basée sur les machines recommandée par le rapport, réduisant ainsi les délais d’investigation des incidents.

Scotty avait peut-être tort, après tout. On peut sans doute changer les lois de la physique, ou du moins celles de la cybersécurité. Grâce à SOAR, beaucoup de choses qui semblaient autrefois impossibles sont désormais réalisables.