e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message



Accédez au menu
Contactez-nous

Automatisation et Orchestration du SOC

Retour aux articles

Automatisation et Orchestration du SOC


Catégorie : Articles

Date de publication : 20 juillet 2020 - Dernière mise à jour : 20 juillet 2020

Rédacteur : Daniel Willame


Les cybercriminels continuent de développer des attaques de plus en plus complexes. Les entreprises doivent toujours garder une longueur d'avance sur le déluge d'alertes auxquelles elles sont confrontées ou sur le paysage réglementaire en constante évolution. Lorsqu'une attaque se produit, le torrent d'actions urgentes commence. Chaque minute compte, avoir l’expertise en matière de sécurité et les outils adéquats pour prendre le contrôle de l’incident est vital. Toutefois, dans une architecture traditionnelle, la capacité à identifier et les procédures internes alourdissent grandement ce délai.
Certaines structures, notamment les SOC (Security Operation Center/centre d’opérations de sécurité) utilisent d’ores et déjà des processus automatisés afin d’orchestrer la réaction des systèmes en cas de détection d’incidents. Ces outils, appelés solution SOAR, automatisent et orchestrent au sein du SOC les événements de sécurité, et sont conçus pour améliorer la productivité et l’efficacité des centres d’opérations de sécurité et éviter la « fatigue » des analystes.

Comme le nom l’indique, une solution SOAR (Security Orchestration, Automation and Response) automatise les tâches répétitives, souvent de routine et chronophages, comme la collecte et la corrélation des données provenant de systèmes de sécurité différents, et aide à coordonner les cycles de vie de réponse et de gestion des incidents.

Les analystes et les SOC managers doivent également passer du temps à préparer des rapports. La solution SOAR va les aider à réduire le temps nécessaire pour traiter les incidents, assurer la discipline des opérations à prévoir, et à réduire le temps nécessaire pour détecter et traiter les incidents.

À la suite de l’onboarding du SOC, une phase d’automatisation par apprentissage (Machine Learning) est nécessaire pour améliorer l’efficacité du SOC. Cette phase fournit aux analystes et responsables de la sécurité des informations pour mieux comprendre le profil de risque de votre système d’information (IS), et inclut des fonctionnalités permettant de mesurer l’efficacité du SOC et du retour sur investissement.

Cette activité est primordiale pour beaucoup d’organisations. Comme s’expriment nos clients : « Connaitre aux travers de dashboards et de rapports tous les incidents de sécurité en un temps opportun, nous permet de passer d’une culture de sécurité réactive à proactive. »

Caractéristiques et fonctionnalités d’une solution SOAR

Introduire une nouvelle solution software requiert d’avoir la capacité de s’intégrer et de renforcer l’efficacité tout en rationalisant et en améliorant les processus. Il en est de même pour une solution SOAR, le RSSI ne devrait pas avoir besoin de modifier son équipe ou les outils existants pour profiter de l’offre de la solution SOAR. La capacité à intégrer gouvernance, stratégies et outils futurs ne doit pas non plus être limitée par la capacité de la solution SOAR.

Pour choisir votre solution SOAR, certains indicateurs devraient vous permettre d’orienter votre choix. Voici les principaux points d’attention :

Gestion dynamique des incidents : la capacité de reconnaître les alertes en provenance de sources multiples et de consolider toutes les données d’événements communs de manière pertinente en une seule vue. Cela permet aux analystes de ne pas dupliquer leurs efforts et de chercher les causes de l’incident à divers endroits. L’équipe se concentre plus facilement sur l’examen, l’action et la remédiation de l’incident. Autre avantage, cela standardise le processus de résolution des incidents.

Capacité de s’intégrer dans l’architecture : afin d’intégrer tous les outils existants et futurs, l’API de la solution SOAR doit permettre d’exploiter tous les composants et toutes les fonctionnalités de la solution SOAR.

Cadre d’intégration simple : malgré une architecture basée sur une API robuste, la solution SOAR doit avoir un moteur d’intégration prêt à l’emploi avec la capacité d’afficher, créer et modifier les scripts. Au travers d’un générateur, vous pourrez facilement adapter l’intégration à vos besoins.

Capacité à croître en fonction de vos volumes : le volume de données généré par les outils de sécurité a un impact direct sur la scalabilité d’une solution SOAR. De plus, l’augmentation de la productivité passe par la mise en œuvre d’un nombre croissant de playbooks et de workflows pour répondre aux cas d’utilisation critiques.

Tableaux de bord personnalisables : avoir la possibilité de créer un nombre infini de vues rapidement et facilement. De plus la solution SOAR aura la possibilité d’accéder à l’ensemble des données des systèmes intégrés.

Créer et partager facilement du contenu : chaque entreprise à sa propre organisation pour la sécurité de son IS : processus, responsabilités, ressources, technologies, et aura sa propre manière de faire évoluer cette organisation. Comprendre ce modus operandi est essentiel pour une solution SOAR, y remédier consistera à rendre disponible une bibliothèque robuste de composants applicatifs (applets) et donner la possibilité de s’accommoder aux changements technologiques, de modifier les playbooks, de transformer les workflows, de partager facilement du contenu.

Multitenant : offrir la capacité native de garder les données séparées et cloisonnées si nécessaire. Il faudra également avoir la capacité de contrôler l’accès aux données de manière granulaire et en fonction d’un profil.

Le dernier point concerne le mode de licensing, s’assurer que le modèle de prix est viable à long terme, que vous ne serez pas pénalisé par le biais d’augmentation de licences en fonction de l’utilisation du produit. Comme pour tout achat, la règle d’hygiène est que l’impact du coût total d’acquisition TCO doit diminuer pendant que le retour sur investissement (ROI) augmente.

Abonnez-vous
à nos newsletters