Security Orchestration Automation and Response (SOAR) n’est pas une solution miracle en matière de cybersécurité. Cependant, il permet aux entreprises d’aligner leurs processus de sécurité sur le reste de l’entreprise, tout en identifiant les zones de gaspillage et en automatisant les tâches fastidieuses.

Il est important de distinguer que SOAR n’est pas un outil d’automatisation. Lorsqu’elles travaillent avec SOAR, les entreprises doivent adopter une approche holistique qui ne se concentre pas sur l’automatisation mais identifie comment le produit peut apporter des avantages commerciaux plus larges. Si vous ne comprenez pas les avantages, les problèmes ne seront pas résolus et l’impact qu’ils auront une fois mis en œuvre peut engendrer plus de travail.

La mise en œuvre d’un programme SOAR est plus complexe que le déploiement d’une nouvelle technologie; il doit être le catalyseur du changement d’approche de la sécurité d’une organisation. Il est temps d’améliorer les rapports traditionnels, tels que les accords de niveau de service (SLA) et de commencer à évoluer vers un enrichissement de la cybersécurité, des temps de réponse plus rapides et des mesures de valeur telles que le temps moyen de réponse (MTTR).

Les menaces posées aux entreprises

Les menaces de cybersécurité augmentent et la récente enquête gouvernementale sur les violations de la cybersécurité 2020 a révélé que près de la moitié des entreprises (46%) ont signalé une violation ou une attaque au cours des 12 derniers mois, ce chiffre augmentant considérablement à 75% pour les grandes organisations.

Il devient également clair que les gens sont de plus en plus conscients et préoccupés par les données et la technologie. Dans un rapport récent, Fujitsu a révélé que plus d’un tiers (35%) des répondants ont admis avoir des problèmes de sécurité concernant le partage de données personnelles, et près de la moitié craignaient que la société devienne trop dépendante de la technologie.

Il est extrêmement important que les réponses aux cybermenaces soient rapides afin de garantir que les entreprises, en particulier les grandes entreprises, maintiennent la meilleure position de sécurité contre les logiciels malveillants et les ransomwares. La cybersécurité continue d’être un défi, les menaces continuent de croître en vitesse et en complexité et la rétention du personnel dans le domaine de la cybersécurité reste difficile avec la demande croissante de travailleurs qualifiés. Mais un programme SOAR correctement implémenté peut atténuer certains de ces problèmes en automatisant les tâches de première ligne.

SOAR peut transformer la façon dont nous traitons les incidents de sécurité, ce qui devrait conduire à une meilleure posture sécurisée. Cependant, SOAR ne doit jamais être utilisé pour remplacer les meilleures pratiques, ni pour remplacer les technologies de sécurité spécialisées.

SOAR ne remplace pas les outils de gestion des informations et des événements de sécurité (SIEM) ou les plates-formes de gestion des services informatiques (ITSM), et il ne doit pas non plus être considéré comme un substitut aux pratiques de sécurité de base. Au contraire, en mettant en œuvre SOAR, il améliorera les technologies et les services sur lesquels les organisations comptent depuis des années.

Les entreprises doivent chercher à exécuter SOAR pour laisser ces technologies faire ce qu’elles maîtrisent déjà. Par exemple, si une entreprise a un SIEM avec une excellente logique d’alarme, SOAR peut être utilisé pour garantir que les alarmes sont gérées de manière cohérente, ou si les entreprises ont des processus et des outils ITSM prédéfinis en place, elles ne devraient pas utiliser SOAR pour attribuer des tickets mais pour améliorez les tickets déjà créés.

En bref, les entreprises ne devraient pas essayer de réinventer la roue. Au lieu de cela, SOAR devrait être utilisé pour compléter les pratiques de sécurité existantes, agissant comme la couche d’intégration et permettant aux employés de faire le travail en moins de temps et de se concentrer sur les emplois où l’apport humain est indispensable.

Les avantages à récolter

Lorsque SOAR est utilisé comme une amélioration, plutôt que comme un remplacement, il peut être transformateur pour tout environnement de sécurité, en particulier comme outil de réponse aux incidents.

C’est l’occasion d’identifier les processus clés qui mettent une entreprise en danger et de les affiner. Ici, les entreprises peuvent identifier des cas d’utilisation qui génèrent une valeur précoce tout en améliorant le moral du personnel, en particulier ceux qui peuvent en avoir marre des tâches banales ou qui souffrent de la fatigue des alertes en raison du nombre d’événements en cours de tri.

Premièrement, il doit y avoir une compréhension approfondie de la façon dont les événements de sécurité dans une organisation sont actuellement traités. Cela garantit que les ingénieurs SOAR peuvent créer le contenu à exécuter par les analystes et par la plate-forme elle-même, offrant des gains d’efficacité quotidiens et augmentant le nombre d’événements de sécurité qui peuvent être traités de manière cohérente.

Ensuite, des analystes de processus métier et des consultants SOAR doivent être déployés pour identifier où les avantages commerciaux peuvent être réalisés. Par exemple, l’objectif est-il de réduire le temps de réponse, de réduire les tâches de données ou d’améliorer la sécurité? Grâce à l’identification précoce des cas d’utilisation, SOAR peut être intégré plus efficacement et fournir un retour sur investissement précoce.

Ce n’est qu’alors que les analystes SOAR pourront travailler quotidiennement sur la plate-forme, en utilisant des commandes d’orchestration pour apporter de la cohérence aux enquêtes et accélérer la clôture des incidents, tout en conservant un journal complet de tous les travaux entrepris.

Une approche holistique et honnête

Avant qu’un établissement ne passe à SOAR, il doit d’abord identifier un objectif clair indiquant où SOAR peut ajouter de la valeur aux procédures de sécurité actuelles. Premièrement, les entreprises doivent évaluer les technologies, les outils et le système de sécurité global en place. Ce n’est qu’alors qu’une entreprise peut mettre en œuvre les bons processus et élaborer des solutions viables.

En fin de compte, SOAR nécessite un changement de culture qui s’éloigne de l’approche traditionnelle des opérations de sécurité. Pour libérer toutes les capacités de SOAR, il faut l’adhésion des dirigeants avec des modifications pré-approuvées. Afin de fournir une réponse plus rapide, plus efficace et plus efficace, les analystes SOAR doivent être habilités à adopter des réponses de sécurité sur place et ensuite sans avoir besoin d’une gouvernance du changement inutile. En conséquence, la technologie peut offrir la possibilité de changer les modes de pensée traditionnels et avoir le pouvoir de prendre des décisions de sécurité positives au moment où elles sont nécessaires.

SOAR doit être mis en œuvre de manière holistique pour garantir que les processus de bout en bout sont compris et que le contenu, les intégrations et les playbooks livrés correspondent aux objectifs commerciaux de manière agile. L’investissement dans la technologie SOAR doit être abordé honnêtement pour réussir. Et les entreprises qui comprennent les capacités et les limites de SOAR bénéficieront de SOAR ou sauront ce qui doit changer pour être prêtes pour SOAR.