e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message



Accédez au menu
Contactez-nous

Zoom sur l’acronyme SOAR

Retour aux articles

Zoom sur l’acronyme SOAR


Catégorie : Articles

Date de publication : 12 mars 2020 - Dernière mise à jour : 12 mars 2020

Rédacteur : Berangere Thevenet


En sécurité informatique, le SOAR (Security Orchestration Automation and Response) est l’automatisation des tâches pour la réponse à incident. Cet acronyme a été utilisé pour la première fois par le cabinet Gartner en 2018.

Pour comprendre le processus de mise en place d’une solution « SOAR », il faut commencer par le début. Le SOAR résulte d’un ensemble de combinaisons de services de sécurité : SIEM, SOC (Security Operation Center) et CSIRTs (Computer Security Incident Response Team).

SIEM, outil analytique au cœur des Centres de Sécurité - SOC

L’acronyme SIEM (Security Information and Event Management) a été inventé en 2005 par Mark Nicolett et Amrit Williams, deux analystes du Gartner, il deviendra rapidement une référence dans le monde de la sécurité informatique.

Les solutions SIEM offrent des outils de collecte, d’analyse et de traitement en temps réel des logs (journaux événements) générés par l’ensemble des applications et composants du réseau afin de centraliser l’information et de déclencher d’éventuelles alertes de sécurité.

Les SIEM (Security Information and Event Management) sont la résultante de deux solutions ;
SEM (Security Event Management) qui permet le traitement en temps réel des événements,
Et SIM (Security Information Management) qui permet l’archivage des journaux événements.

Pendant longtemps les SIEM ont subi une mauvaise réputation à cause du nombre de remontées d’informations souvent mal ou pas gérées par les équipes IT. Aujourd’hui mieux implémentés par des workflows propres aux entreprises, ils sont devenus le cœur même des Centres de Sécurité (SOC).

Avantages des SIEM :
Automatisation de la collecte et de la corrélation des logs,
Détection des anomalies dans un contexte propre à l’entreprise,
Optimisation de la gestion des alertes et des incidents.

e-Xpert solutions propose à son catalogue la solution Splunk. Cette solution combine des outils de collecte, d’indexation, de recherche et d’analyse approfondie dans des immenses quantités de données ou journaux événements. Des recherches manuelles ou automatisées peuvent ensuite être effectuées dans ces données via un puissant langage recherche (le Splunk SPL). Splunk permet également la génération de graphiques, de rapports personnalisés, d’alertes de sécurité et tableaux de bord.

Technologies SOAR, en comprendre les enjeux !

Face à la recrudescence des attaques informatiques, les restrictions budgétaires et la pénurie de compétences adaptées en interne, les entreprises n’ont pas d'autres choix que de réagir en cherchant des compétences externes et/ou des solutions permettant de traiter un très grand nombre d’informations de manière intelligente et cohérente à leur contexte.

En cas d’alerte ou de menace…
Toutes les informations sont nécessaires dans un contexte donné pour en comprendre les enjeux et répondre de façon appropriée. L’orchestration de l’ensemble des outils de sécurité et des journaux d'événements, permet un gain de temps non négligeable dans la gestion des alertes et des anomalies. Au cœur des menaces, l’automatisation permet donc l’accélération du traitement des incidents : recherche d’indicateurs sur les menaces, gestion de l’incident, …

Dans la réalité des faits…
Selon les types d’attaques, les entreprises font face à des tâches chronophages et récurrentes avec des risques d’erreurs humaines non négligeables. Les solutions SOAR interviennent justement sur cet aspect. L’objectif étant de limiter voire éradiquer ces situations en entreprise. Des Workflows sont établis pour la gestion des incidents afin d’automatiser toutes ces tâches sans valeur ajoutée pour les équipes IT. Les avantages sont un gain de temps considérable tout en limitant les risques d’erreurs humaines.

SOAR & Phishing

Les menaces liées au phishing ne cessent de croître. Pour les équipes IT internes, vérifier les mails dits malicieux est devenu une tâche fastidieuse dû au nombre de mails remontés. Cette vérification prend énormément de temps. D’autant que la plupart des entreprises ne disposent pas des ressources nécessaires pour effectuer correctement ces vérifications.

Faire face au phishing !
Pour faire face aux menaces liées au phishing, l’utilisation d’une solution SOAR parait judicieuse. Son avantage majeur est sa capacité à analyser et vérifier les indénombrables mails dits malicieux. De façon automatisée, elle mène des investigations sur l’adresse mail de l’expéditeur, la fiabilité des pièces jointes, la vérification des URLs, …

La solution SOAR s’intègre avec les systèmes de messagerie et peut aller jusqu’à réaliser des actions de remédiation : comme la suppression d’une pièce jointe malicieuse, blacklisting d'une adresse mail ou d'un domaine complet,…

De cette manière, l’analyse des ingénieurs est beaucoup plus rapide. Les équipes peuvent se concentrer sur le reste de l’investigation et mettre en œuvre des réponses manuelles.

L’automatisation de la réponse à incident permet de réagir plus vite sans une intervention humaine lorsqu’il y a peu de valeur ajoutée.

*PhishReports playbook

En Bref...

La valeur ajoutée d’une technologie SOAR est d’aller à l’essentiel pour les experts en sécurité. Les CSIRTs et/ou les équipes internes des entreprises ont l’opportunité de se focaliser uniquement sur la gestion des alertes ou menaces nécessitant une réelle valeur ajoutée humaine.

Abonnez-vous
à nos newsletters