L'automatisation intelligente a des impacts sur les marchés technologiques. Et en raison d'une énorme pénurie de main-d'œuvre dans l'un de ces marchés — la cybersécurité — l'automatisation est devenue incroyablement importante.

Les entreprises rencontrent des difficultés de recrutement, utilisent du personnel sous-qualifié et jonglent avec des dizaines d'outils à la fois — ces luttes ont de réelles implications. Le personnel sous-qualifié et en sous-effectif est plus susceptible d'exposer des informations et d'utiliser les outils de manière incorrecte ; cela s'ajoute au risque et aux conséquences potentielles de laisser des postes de sécurité ouverts et inoccupés pendant des mois.

Une solution potentielle : des logiciels de sécurité système spécialisés. Bien qu'ils ne répondent pas complètement à la question du manque de compétences, les plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) sont conçues pour simplifier et automatiser d'énormes quantités de tâches de sécurité, rendant les équipes plus légères, plus efficaces et plus efficientes.

Qu'est-ce que le SOAR ?

Les entreprises intègrent les plateformes SOAR avec les solutions de sécurité existantes, où les équipes définissent et établissent une logique opérationnelle spécifique et des politiques de sécurité. La plateforme utilise ensuite des informations contextuelles provenant de l'outil de gestion des informations et des événements de sécurité (SIEM) d'une entreprise pour identifier les anomalies et les dysfonctionnements. Les plateformes SOAR s'intègrent également avec des logiciels de pare-feu, des outils de réponse aux incidents, des logiciels CASB, et à peu près tout autre outil de sécurité disponible pour les entreprises.

SOAR vs. SIEM : Plus qu'un complément au SIEM

Les entreprises utilisent des solutions de gestion des informations et des événements de sécurité (SIEM) pour collecter et stocker des informations sur les points de terminaison, les réseaux et autres actifs informatiques. Les équipes font généralement cela en plaçant un agent sur chaque appareil pour recueillir des données et surveiller l'activité. Ces informations sont utilisées pour identifier une activité anormale, des incidents de sécurité et tout autre type d'attaque.

Le SOAR prend la prochaine étape opérationnelle. Après avoir intégré la solution SOAR avec un SIEM et traité ses informations stockées, l'outil SOAR peut s'intégrer avec des outils de sécurité supplémentaires pour automatiser les tâches de flux de travail. Par exemple, les utilisateurs de SOAR ajouteront généralement un outil de réponse aux incidents à la plateforme pour automatiser la remédiation à mesure que les incidents surviennent. Ils peuvent également intégrer des outils d'analyse de sécurité ou de vulnérabilité pour ajouter des informations contextuelles aux moteurs de risque. Les possibilités sont infinies, mais elles tournent toutes autour de la logique définie par les équipes de sécurité et des opérations qu'elles souhaitent automatiser. Par exemple, des déclencheurs peuvent être définis pour isoler automatiquement un appareil si un logiciel malveillant est détecté. Les systèmes peuvent scanner en continu les anomalies et automatiser l'enquête et la remédiation une fois découvertes.

Le SOAR n'est pas un remplacement pour les solutions SIEM ; en réalité, le SIEM alimente le SOAR. Le SIEM fournit toutes les données contextuelles et les informations de sécurité nécessaires pour former la plateforme SOAR à identifier les anomalies et automatiser leur remédiation.

Qu'est-ce qui motive l'adoption du SOAR ?

Il existe de nombreux avantages à cette technologie émergente, décrite pour la première fois en 2017. Bien que les produits SOAR spécifiques vantent des fonctionnalités variées, les points communs parmi leurs avantages incluent une efficacité et une visibilité accrues pour les équipes d'opérations de sécurité — grâce à l'intégration et à l'automatisation.

Efficacité opérationnelle

En termes simples, l'automatisation facilite le travail des employés. Les plateformes SOAR permettent aux équipes de définir des priorités et de construire un flux de travail pour les événements de sécurité qui nécessitent un effort humain minimal. Les équipes établissent des normes opérationnelles à travers la logique et les politiques, que les produits SOAR comparent et référencent constamment pour détecter les anomalies. Si la détection et la remédiation sont automatisées, les équipes ont plus de temps pour trouver la cause profonde d'un problème et l'empêcher de se reproduire. De plus, en cas d'incident de sécurité majeur, ces produits peuvent alerter instantanément les équipes pour une réponse rapide.

Efficacité de la réponse

Plus tôt les équipes de sécurité peuvent détecter un problème, plus il est facile de le résoudre. Les systèmes hérités peuvent avoir la capacité d'alerter un individu d'un événement, d'envoyer un e-mail à un autre pour enquête, et de pinguer un autre pour la remédiation. Les solutions SOAR permettent de détecter et de remédier automatiquement aux problèmes simples. D'autres problèmes plus complexes peuvent être étudiés à l'aide d'outils intégrés et d'informations médico-légales agrégées collectées par des logiciels SIEM. Une fois les informations analysées, les équipes d'enquête peuvent présenter les données au personnel de réponse aux incidents avant même qu'ils ne soient conscients de l'incident, réduisant considérablement le temps passé de la découverte à la remédiation.

Réduction des risques

La réduction des risques est obtenue avec le SOAR en simplifiant le processus de priorisation des incidents et des vulnérabilités. La gestion des vulnérabilités est l'un des plus grands processus que le SOAR peut impacter. Les entreprises peuvent avoir des centaines de configurations à examiner, mais la priorisation intelligente basée sur les risques aide les entreprises à s'attaquer aux problèmes ayant le plus grand impact en identifiant les ressources critiques potentiellement impactées par des problèmes majeurs. Les problèmes simples peuvent être remédiés automatiquement (ou sauvegardés pour plus tard) tandis que les équipes de sécurité s'attaquent aux problèmes affectant les systèmes critiques pour l'entreprise.

Nouvelles sur le marché du SOAR

Bien que la technologie SOAR n'existe que depuis quelques années, le marché devrait déjà dépasser les 2 milliards de dollars d'ici 2025, avec une croissance annuelle composée de 16 % pendant la période, selon KBV Research.

Image Courtesy: MarketsandMarkets

Cette activité s'est manifestée sous de nombreuses formes.

Une partie est venue sous la forme de nouveaux produits de grands acteurs du monde de la sécurité. Et bien qu'un certain nombre de fournisseurs de SIEM aient émergé de manière organique, l'adhésion de géants de la technologie comme Rapid7 et FireEye au cours des dernières années ont donné de la crédibilité au marché.

Les acquisitions ont également ajouté de la légitimité au marché. Au cours des dernières années, les startups liées au SOAR ont été dévorées par les fournisseurs de sécurité :

• En plus de lancer sa plateforme SOAR InsightConnect en 2018, Rapid7 a renforcé sa technologie avec l'acquisition de trois startups liées au SOAR : NetFort, tCell, et Komand.
• Splunk a acquis VictorOPs et Phantom en 2019 pour développer Splunk Enterprise Security et automatiser les opérations de sécurité grâce à Splunk Phantom Security Orchestration.
• Palo Alto Networks a acquis Demisto, un leader dans la catégorie SOAR de G2, et Fortinet a acheté Cybersponse en 2019.

La liste continue. Les acquisitions peuvent voler la vedette, mais les fournisseurs de SOAR s'associant avec des institutions technologiques, de conseil et financières ont stimulé beaucoup de croissance du marché. La plupart de ces partenariats ont pris deux formes : des études de cas de services cloud d'entreprise et des accords avec des fournisseurs de services gérés (MSP).

LogRythm a commencé un partenariat avec Dell EMC en 2016 pour intégrer des solutions tout en ajoutant l'automatisation et l'analyse de la sécurité aux produits Dell EMC. L'année suivante, ThreatConnect a commencé à collaborer avec CenturyLink ; Rapid7 s'est associé à Microsoft ; et Demisto a travaillé avec AWS ; tous ont ajouté l'automatisation de la sécurité à leurs produits et services.

Splunk a commencé les partenariats MSP en 2016 tout en travaillant avec Accenture pour automatiser la sécurité des services d'application d'Accenture. LogRythm a suivi en 2017 pour faire de même pour Deloitte. Depuis lors, un certain nombre d'autres fournisseurs de services de conseil, d'assurance et de services se sont associés à des fournisseurs de solutions SOAR pour étendre la fonctionnalité de leurs produits ou externaliser des parties de leurs services.

L'avenir des opérations de sécurité

Ces tendances de sécurité se poursuivront en 2020 et au-delà.

Pour l'entreprise, cela signifie plus de travail collaboratif entre les fournisseurs de sécurité et les prestataires de services pour améliorer l'automatisation de la sécurité pour leurs entreprises et leurs clients.

Pour les équipes de sécurité, le plus grand impact sera un travail plus facile : atteindre l'automatisation et la visibilité, faire fonctionner les solutions de sécurité à l'unisson, et développer des flux de travail de réponse. Cela permet aux équipes de sécurité d'identifier et de prioriser les problèmes en fonction de leurs propres objectifs ou besoins uniques. De plus, elles peuvent perdre moins de temps sur des problèmes mineurs et évaluer les risques en conséquence pour optimiser l'impact de chaque seconde qu'elles passent à travailler.

Cela devrait impacter un nombre substantiel d'équipes de sécurité d'entreprise. D'ici 2022, près d'un tiers des organisations d'entreprise seront dotées de cinq professionnels de la sécurité ou plus. Ce nombre va exploser à partir de 5 % aujourd'hui, selon Gartner.

Les futures équipes de sécurité alimentées par le SOAR seront mieux équipées que jamais pour analyser les risques, découvrir les problèmes de sécurité et remédier rapidement aux menaces.