Jump to section

Le SOAR, qu'est-ce que c'est ?

Copier l'URL

Le sigle anglais SOAR (Security Orchestration, Automation and Response, que l'on pourrait traduire par Orchestration, automatisation et réponse aux incidents de sécurité informatique) décrit les technologies qui permettent de protéger les systèmes informatiques contre les menaces.

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de cybersécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des renseignements sur les menaces. C'est le cabinet d'études Gartner qui a employé ce sigle pour la première fois. Les analystes de la sécurité désignent le même concept avec des signes différents : AIRO (Security Analytics, Intelligence, Response, and Orchestration) pour IDC et SAO (Security Automation and Orchestration) pour Forrester.

Le SOAR est généralement mis en œuvre en coordination avec le centre opérationnel de sécurité d'une entreprise. Les plateformes SOAR surveillent les flux de renseignement sur les menaces et déclenchent des réponses automatisées aux problèmes de sécurité, ce qui peut aider les équipes informatiques à maîtriser rapidement et efficacement les menaces sur de nombreux systèmes complexes.

Que vous disposiez d'un centre opérationnel de sécurité mature et solidement établi ou que vous commenciez tout juste la transformation de la sécurité dans votre entreprise, les meilleures pratiques en matière de gestion des vulnérabilités imposent que chaque incident de sécurité soit documenté et géré comme un cas. Les pratiques de gestion des cas désignent les méthodes utilisées pour documenter les incidents et produire les renseignements concernant les menaces. Elles assurent que les menaces sont identifiées, classées par ordre de priorité en fonction du risque et examinées. Elles permettent également de documenter les informations recueillies suite à un incident, et de les partager au sein des entreprises et des communautés. 

Les technologies SOAR s'accompagnent souvent de workflows préconfigurés pour les cas d'utilisation courants. Si ces cas d'utilisation par défaut ne répondent pas aux besoins spécifiques de votre entreprise, ils peuvent être personnalisés conformément à vos exigences.

L'automatisation de la sécurité consiste à exécuter des tâches d'exploitation liées à la sécurité sans intervention humaine. En matière de sécurité, le besoin d'automatisation croît souvent en raison de la complexité de l'infrastructure et d'une intégration sans doute insuffisante entre ses différentes parties. Pour déterminer les tâches qui peuvent et doivent être automatisées, il faut se poser les questions suivantes :

  1. La tâche est-elle courante ? Doit-elle être exécutée régulièrement ?
  2. La tâche est-elle fastidieuse ? Implique-t-elle de réaliser une série d'actions selon une démarche précise ? 
  3. La tâche prend-elle du temps ? Cet ensemble d'actions monopolise-t-il votre équipe ?

Si vous avez répondu oui à l'une de ces questions, l'automatisation peut vous être utile et apporter de nombreux résultats positifs à votre entreprise, notamment la réduction du nombre d'erreurs humaines, une plus grande efficacité et rapidité ainsi qu'une meilleure cohérence dans les réponses aux incidents de sécurité.

L'un des principaux avantages de l'automatisation des tâches est qu'elle permet aux équipes de sécurité d'améliorer leur efficacité et de libérer du temps à consacrer à d'autres tâches. Comme il n'y a tout simplement pas assez de professionnels de la sécurité pour répondre aux besoins de toutes les entreprises, l'automatisation peut contribuer à combler cette pénurie de talents en aidant les équipes de sécurité à en faire plus, plus vite.

Les équipes chargées de la sécurité doivent jongler entre plusieurs outils et produits différents, tels que les logiciels de détection et de réponse au niveau des points de terminaison (EDR), les pare-feu et les solutions de gestion des informations et des événements de sécurité (SIEM), qui ne sont souvent pas intégrés les uns aux autres. La gestion manuelle de ces outils peut retarder la détection et la résolution des problèmes, générer des erreurs au niveau de la configuration des ressources et empêcher l'application cohérente des politiques, ce qui rend les systèmes vulnérables face aux attaques graves et aux problèmes de conformité. L'automatisation permet de rationaliser les tâches quotidiennes et d'intégrer d'emblée la sécurité aux processus, aux applications et à l'infrastructure, comme dans le cadre d'une approche DevSecOps.

D'après le Ponemon Institute, la détection et la maîtrise des failles de sécurité en 200 jours ou moins permettent de réduire le coût par faille de 1,22 million de dollars en moyenne. La détection rapide des menaces peut réduire la probabilité d'une violation de la sécurité et vous épargner les coûts qui y sont associés, mais l'application de mesures de correction sur plusieurs plateformes et outils peut s'avérer compliquée, longue et génératrice d'erreurs.

Si les processus manuels peuvent retarder l'identification des menaces dans les écosystèmes informatiques complexes, l'automatisation des processus de sécurité aide les entreprises à identifier, valider et faire remonter les menaces plus rapidement, sans intervention manuelle. Les équipes de sécurité peuvent utiliser l'automatisation pour améliorer les temps de réponse et appliquer simultanément des correctifs aux systèmes affectés dans leurs environnements.

L'orchestration est basée sur des processus, alors que l'automatisation repose sur des tâches. L'orchestration de la sécurité permet de connecter et d'intégrer des outils et systèmes de sécurité différents afin de rationaliser les workflows de réponse. En connectant vos outils et systèmes, ainsi que les processus qui les gouvernent, vous pouvez tirer parti de l'automatisation dans tous vos environnements.

Si l'automatisation peut simplifier les workflows, les employés humains restent irremplaçables pour l'un des aspects les plus critiques du SOAR : l'orchestration de la sécurité de haut niveau. Celle-ci permet aux équipes informatiques de définir le processus d'exécution des tâches automatisées. Ce sont ces équipes qui décident des opérations à automatiser, pourquoi et quand.

Les renseignements sur les menaces font référence aux différentes informations concernant les menaces existantes et émergentes qui pèsent sur les actifs des entreprises. Ils peuvent provenir de diverses bases de données qui regroupent les vulnérabilités. Des méthodes de référence, comme la liste CVE, facilitent l'identification et le partage de ces vulnérabilités entre les diverses bases de données et plateformes. Les plateformes de renseignement sur les menaces collectent ces informations via divers flux. Pour identifier les menaces potentielles, les outils SOAR utilisent plusieurs de ces flux. Ceux-ci sont ensuite regroupés dans une source unifiée qui peut être interrogée par les équipes et utilisée pour déclencher des tâches d'automatisation.

Sur le plan organisationnel, la réponse que vous apportez aux incidents de sécurité s'appuie sur le centre opérationnel de sécurité. Il peut néanmoins être difficile de coordonner les actions et de communiquer avec les nombreux services qui composent votre entreprise. L'automatisation peut servir de force unificatrice et de langage commun entre les services. Avec une seule solution d'automatisation pour l'ensemble de vos plateformes, dans chaque service, vous pouvez établir des canaux d'interaction clairs pour faciliter l'identification et le classement des menaces de sécurité les plus urgentes.

La sécurité peut être améliorée par un changement culturel, qui incite à prendre la sécurité en considération à un autre moment dans le processus de développement. Le terme « DevOps » décrit les approches visant à accélérer les processus qui permettent de passer du développement d'une idée à son déploiement dans un environnement de production. Par le passé, les processus liés à la sécurité étaient isolés et confiés à une équipe spécifique, à l'étape finale du développement. Cette approche, qui ne posait pas de problème lorsque les cycles de développement duraient des mois, voire des années, n'est aujourd'hui plus adaptée puisque les applications sont distribuées en quelques semaines seulement. Dans le cadre du travail collaboratif du modèle DevOps, la sécurité peut devenir une responsabilité partagée et intégrée du début à la fin. C'est le modèle du « DevSecOps ».

Regarder le webinar sur la modernisation du cycle de vie avec le DevSecOps

Tout comme le DevOps, le DevSecOps est un modèle culturel. Celui-ci prend en compte la gestion des risques tout au long du processus de développement. Les entreprises axées sur la sécurité figurent souvent parmi les premières à adopter les méthodes DevSecOps, grâce auxquelles les équipes de développement et de sécurité peuvent collaborent étroitement et appliquer le principe du « Shift Left », qui consiste à mettre en œuvre des mesures de sécurité plus tôt dans le cycle de développement. 

Quelle que soit la culture de l'entreprise, l'automatisation est indispensable pour mettre en œuvre l'approche DevSecOps. Cette automatisation peut s'appliquer aux processus liés aux référentiels de contrôle des sources, aux registres de conteneurs, aux pipelines CI/CD, à la gestion des API ainsi qu'à la gestion et la surveillance de l'exploitation.

Consulter la liste de contrôle pour réussir la mise en œuvre de l'approche DevSecOps

Les logiciels Open Source d'entreprise utilisent un modèle de développement qui améliore les tests et l'optimisation des performances, en s'appuyant généralement sur une équipe chargée de la sécurité. Ces logiciels améliorent les processus de réponse aux nouvelles vulnérabilités de sécurité et aux nouveaux protocoles en signalant aux utilisateurs tout incident de sécurité et en indiquant comment le corriger. Il s'agit d'une version améliorée du réseau de confiance Open Source, qui assure vos arrières en matière de sécurité informatique.

Avec une souscription Red Hat® Ansible® Automation Platform, vous pouvez automatiser, orchestrer et intégrer différentes solutions de sécurité pour simplifier l'examen des menaces dans l'entreprise et la mise en place d'une réponse, de manière coordonnée et unifiée, en utilisant un ensemble de modules, de rôles et de playbooks. Vous pouvez également intégrer des applications externes via des API, SSH, WinRM et d'autres méthodes d'accès standard ou déjà existantes.

La solution Ansible Automation Platform convient pour toute la pile informatique, de l'infrastructure aux applications, et coordonne l'ensemble avec une couche de technologies de sécurité. Les équipes chargées des opérations de sécurité peuvent utiliser cette solution pour gérer d'autres applications d'entreprise, comme les solutions SOAR.

En outre, notre expertise en matière de cloud hybride nous donne un point de vue unique sur les moyens de protéger le cloud face aux cybermenaces et cyberattaques. En adoptant un modèle Zero Trust, vous pouvez faire évoluer votre approche de la sécurité et réaligner vos politiques en la matière.

Keep reading

ARTICLE

Le DevSecOps, qu'est-ce que c'est ?

Si vous souhaitez tirer pleinement parti de l'agilité et de la réactivité d'une approche DevOps, vous devez également intégrer la sécurité informatique au cycle de vie complet de vos applications.

ARTICLE

Quelles sont les spécificités de la sécurité dans le cloud ?

Les préoccupations en matière de sécurité de haut niveau affectent les systèmes informatiques traditionnels et cloud. Découvrez quelles sont les différences.

ARTICLE

Le SOAR, qu'est-ce que c'est ?

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de sécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des renseignements sur les menaces.

En savoir plus sur la sécurité

Produits

Structure de sécurité qui gère les identités des utilisateurs et préserve la confidentialité des communications.

Solution de sécurisation des conteneurs native pour Kubernetes et adaptée aux entreprises, qui permet de créer, de déployer et d'exécuter des applications cloud-native de manière sécurisée.

Service d'analyses prédictives qui aide à identifier et à écarter les menaces qui compromettent la sécurité, les performances et la disponibilité de votre infrastructure Red Hat.

Console unique pour le contrôle des clusters et applications Kubernetes, avec des politiques de sécurité intégrées.

Ressources