S’appuyer sur un SOC (Security Operations Center) s’avère de plus en plus indispensable. Il doit mettre en œuvre des technologies de dernière génération pour être capable de détecter et remédier les attaques les plus complexes. Ce livre blanc explore comment l'automatisation et l'orchestration de la sécurité (SOAR) révolutionnent les centres d'opérations de sécurité.
"Face à l’industrialisation des attaques, les entreprises doivent non seulement se mettre en capacité de détecter ces attaques rapidement, mais elles doivent aussi y remédier au plus vite. Une récente étude Immersive Labs menée à partir des données collectées lors de 1,1 million de simulations d’attaques a montré que le temps moyen de réponse des entreprises à un incident de sécurité était encore de l’ordre de 19 jours en 2022. C’est mieux qu’un an auparavant où il était de 21 jours, mais cela reste très insuffisant. Pendant près de 20 jours, l’attaquant peut se livrer à des mouvements latéraux dans le système d’information, infecter d’avantage de postes et procéder à une exfiltration des données avant de bloquer complètement le fonctionnement des systèmes informatiques.
Investir sur les endpoints et déployer des EDR est nécessaire pour protéger les utilisateurs. Nécessaire, mais pas suffisant si on veut atteindre un taux de couverture correct face aux risques les plus évolués . Il est désormais impératif de se doter d’une cybersécurité en 24/7, se mettre en capacité d’analyser les signaux remontés du système d’information et réagir instantanément. S’appuyer sur un SOC (Security Operations Center) s’avère de plus en plus indispensable et celui-ci doit mettre en œuvre des technologies de dernière génération pour être capable de détecter et remédier les attaques les plus complexes. La mise en œuvre de solutions telles que les EDR et NDR vont clairement améliorer les capacités de détection de ces attaques mais c’est clairement du côté des XDR et de l’action des SOC que des améliorations sont apportées.
Les SOC modernes s’appuient sur des SIEM de nouvelle génération ou XDR, et misent sur les IA tant en détection de menaces que pour l’analyse des incidents de sécurité en temps réel. Au cœur du SOC, les analystes de sécurité sont aujourd’hui secondés par des IA génératives et de plus en plus de tâches sont automatisées via des solutions de type SOAR (Security Orchestration Automation and Response). Véritables moteurs d’orchestration de la réponse à incident, ces logiciels permettent d’automatiser toutes les tâches répétitives et la réponse aux incidents connus. Cette montée en puissance des fonctions d’automatisation sera la clé pour améliorer le fameux « Mean-Time-To-Response », mais aussi abaisser le niveau de charge et de stress qui repose sur les analystes et enfin améliorer globalement le niveau de sécurité de l’entreprise en optimisant ses opérations liées à la sécurité.
De même, l’automatisation est un puissant outil de démocratisation des outils de sécurité avancés. Elle permet aux MSSP (Managed Security Service Provider) d’abaisser les coûts d’entrée à leurs services XDR et SOC et les rendre accessibles aux PME et ETI, une cible de plus en plus fréquente pour les attaquants comme l’indiquait l’ANSSI dès 2022 dans son panorama de la cybermenace 3. Les offres « As a Service » en partie automatisées via le SOAR constituent la meilleure réponse à cette évolution de fond."
