L'automatisation monte en puissance dans les SOC

Alain Clapaud

Dossier publié dans Solutions Numériques N°23

Manque d’analystes de sécurité dans les SOC, avalanche d’événements de sécurité à traiter dans un contexte d’ouverture des SI, mais aussi besoin de réagir plus rapidement aux attaques, l’heure est à l’automatisation des SOC.

 

Automatiser la réponse à un incident de sécurité n’est pas une idée nouvelle, mais devant l’accroissement considérable des volumes de données traitées par les SIEM et aussi la pénurie de main-d’œuvre qualifiée dans les SOC (centre de sécurité opérationnel), les RSSI cherchent de plus en plus des moyens d’automatiser les traitements.

Des équipements de plus en plus automatisables

S’appuyant sur une étude menée avec le CESIN, Benjamin Leroux, directeur marketing d’Advens confirme ce besoin d’automatisation : « L’automatisation est l’une des pistes d’amélioration des SOC qui intéressent les RSSI français, notamment pouvoir automatiser la remédiation. Des RSSI sont déjà parvenus à automatiser certaines réponses à ces incidents très ciblés. Par contre certains reconnaissent que jamais ceux-ci ne pourront intervenir de manière automatisée sur la production au titre de la sécurité et doivent se conformer aux process classiques. Cela montre bien qu’avant même de pouvoir automatiser, il faut adopter une démarche organisationnelle. » Si une automatisation à 100% de la réponse à incident est illusoire, de plus en plus de solutions de sécurité offrent des capacités d’automatisation de la réponse, que ce soit par un pilotage par logiciel via leurs API ou des fonctions de réponse à incident intrinsèques.

Un mouvement de fond

Pour Edouard Viot, chef de produit chez Rohde & Schwarz Cybersecurity, il s’agit d’un mouvement de fond du marché : « les RSSI attendent des produits de sécurité que ceux-ci intègrent des API afin de répondre à ce besoin d’automatiser les processus. Un nouveau marché est en train d’apparaître au-dessus du SIEM, le marché des solutions de SOAR (Security Automation and Orchestration) qui viennent se placer au dessus du SIEM afin de réagir automatiquement à une alerte générée par un WAF, par exemple. » Illustration de ce mouvement vers une plus grande automatisation, LogPoint fait évoluer son SIEM vers des capacités d’orchestration : « La plateforme LogPoint dispose déjà d’un certain nombre de fonctionnalités d’orchestration, par exemple, la possibilité de prendre des mesures correctives en fonction des menaces identifiées » explique Jesper Zerlang, CEO de LogPoint. Il ajoute : « Le développement de fonctions d’orchestration fait partie de notre feuille de route, mais nous n’allons pas rechercher une solution SOAR à part entière. Notre stratégie est de nous associer avec les meilleurs fournisseurs de technologie de leur catégorie pour ajouter des capacités en dehors de la portée du SIEM de base, SOAR étant l’un d’eux. »

L’éditeur a noué un partenariat avec DFLabs en 2018 ainsi qu’avec Swimlane. En pleine effervescence, de multiples pure players se sont positionnés sur ce marché des SOAR comme des acteurs traditionnels de la cybersécurité tels qu’IBM, FireEye, Microsoft et Splunk mais aussi des acteurs de l’ITSM tels que ServiceNow.