Connexion / Inscription Account

SÉCURITÉ

Le SOAR, qu'est-ce que c'est ?

Jump to section

Le sigle anglais SOAR (Security Orchestration, Automation and Response, que l'on pourrait traduire par Orchestration, automatisation et réponse aux incidents de sécurité informatique) décrit les technologies qui permettent de protéger les systèmes informatiques contre les menaces.

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de sécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des informations sur les menaces. C'est le cabinet d'études Gartner qui a employé ce sigle pour la première fois. D'autres analystes utilisent des sigles différents pour désigner le même concept, par exemple AIRO (Security Analytics, Intelligence, Response, and Orchestration) pour IDC ou SAO (Security Automation and Orchestration) pour Forrester. 

Le SOAR est généralement mis en œuvre en coordination avec le centre opérationnel de sécurité d'une entreprise. Les plateformes SOAR peuvent surveiller les flux d'informations sur les menaces et déclencher des réponses automatisées afin de limiter les problèmes de sécurité.

Gestion des cas et des workflows

Que vous disposiez d'un centre opérationnel de sécurité mature et solidement établi ou que vous commenciez tout juste la transformation de la sécurité dans votre entreprise, les meilleures pratiques imposent que chaque incident de sécurité soit documenté et géré comme un cas. Les pratiques de gestion des cas désignent les méthodes utilisées pour documenter les incidents et produire les renseignements concernant les menaces. Elles assurent que les menaces sont identifiées, classées par ordre de priorité en fonction du risque et examinées. Elles permettent également de documenter les informations recueillies suite à un incident, et de les partager au sein des entreprises et des communautés. 

Les technologies SOAR s'accompagnent souvent de workflows préconfigurés pour les cas d'utilisation courants. Si ces cas d'utilisation par défaut ne répondent pas aux besoins spécifiques de votre entreprise, ils peuvent être personnalisés conformément à vos exigences.

Automatisation et orchestration des tâches

L'automatisation de la sécurité consiste à exécuter des tâches d'exploitation liées à la sécurité sans intervention humaine. En matière de sécurité, le besoin d'automatisation est souvent plus élevé en raison de la complexité de l'infrastructure et d'une intégration sans doute insuffisante entre les différentes parties de l'infrastructure. Pour déterminer les tâches qui peuvent et doivent être automatisées, il faut se poser les questions suivantes :

  1. La tâche est-elle courante ? Doit-elle être exécutée régulièrement ?
  2. La tâche est-elle fastidieuse ? Implique-t-elle de réaliser une série d'actions selon une démarche précise ? 
  3. La tâche prend-elle du temps ? Cet ensemble d'actions monopolise-t-il votre équipe ?

Si vous avez répondu oui à l'une de ces questions, l'automatisation peut vous être utile et apporter de nombreux résultats positifs à votre entreprise, notamment la réduction du nombre d'erreurs humaines, une plus grande efficacité et rapidité ainsi qu'une meilleure cohérence dans les réponses.

Pourquoi automatiser les processus de sécurité ?

L'un des principaux avantages de l'automatisation des tâches est qu'elle permet aux équipes de sécurité d'être plus efficaces et d'avoir plus de temps à consacrer à d'autres tâches. L'automatisation peut aussi aider les entreprises à combler un déficit de talents dans leur secteur. Car il n'y a tout simplement pas assez de professionnels de la sécurité pour répondre aux besoins de chaque entreprise. L'automatisation des tâches de sécurité permet à ces équipes d'en faire plus et plus vite.

Les équipes de sécurité doivent composer avec une multitude d'outils et de produits différents qui ne sont probablement pas intégrés les uns aux autres. La gestion manuelle de ces outils peut retarder la détection et la résolution des problèmes, générer des erreurs au niveau de la configuration des ressources et empêcher l'application cohérente des politiques. Les systèmes sont ainsi vulnérables face aux attaques graves et aux problèmes de conformité. L'automatisation permet de rationaliser les tâches quotidiennes et d'intégrer d'emblée la sécurité aux processus, aux applications et à l'infrastructure, comme dans le cadre d'une approche DevOps. En automatisant totalement la sécurité, vous pouvez même réduire le coût moyen d'une faille de 95 %.

La détection rapide des menaces permet de réduire la probabilité que votre entreprise soit confrontée à une faille de sécurité ainsi que les coûts inhérents à l'apparition d'une faille. La détection et le contrôle des failles de sécurité en 200 jours ou moins réduisent le coût moyen d'une faille de 1,22 million de dollars en moyenne. Les processus manuels peuvent retarder l'identification des menaces dans les environnements informatiques complexes, ce qui rend votre entreprise vulnérable. L'automatisation de vos processus de sécurité peut vous aider à identifier, confirmer et signaler les menaces plus rapidement qu'avec des processus manuels.

Cependant, la mise en œuvre des corrections avec plusieurs plateformes et outils peut s'avérer complexe, longue et source d'erreurs. Les équipes de sécurité peuvent utiliser l'automatisation pour apporter rapidement et simultanément des correctifs aux systèmes affectés dans votre environnement et accélérer la résolution des incidents.

Quelle est la différence entre l'automatisation et l'orchestration ?

L'orchestration de la sécurité permet de connecter et d'intégrer des outils et systèmes de sécurité différents afin de rationaliser les processus. En connectant vos outils et systèmes, vous pouvez tirer parti de l'automatisation dans tous vos environnements. L'orchestration est basée sur des processus, alors que l'automatisation repose sur des tâches. L'aspect humain est la principale distinction entre l'orchestration et l'automatisation. L'orchestration de la sécurité de haut niveau est la composante essentielle du SOAR. Elle permet aux équipes de définir le processus selon lequel les tâches automatisées sont exécutées. Ce sont ces équipes qui décident des opérations à automatiser, pourquoi et quand.

Centralisation des informations sur les menaces

Les informations sur les menaces font référence aux différents renseignements concernant les menaces existantes et émergentes qui pèsent sur les actifs des entreprises. Elles peuvent provenir d'une multitude de bases de données qui regroupent les vulnérabilités. Des méthodes de référence, comme la liste CVE, facilitent l'identification et le partage de ces vulnérabilités entre les diverses bases de données et plateformes. Les plateformes d'informations sur les menaces collectent ces renseignements via divers flux. Pour identifier les menaces potentielles, les outils SOAR utilisent plusieurs de ces flux. Ceux-ci sont ensuite regroupés dans une source unifiée qui peut être interrogée par les équipes et utilisée pour déclencher des tâches d'automatisation.

Sur le plan organisationnel, votre centre opérationnel de sécurité est au cœur de votre réponse de sécurité. Il peut néanmoins être difficile de coordonner les actions et de communiquer avec les nombreux services qui composent votre entreprise. L'automatisation peut servir de force unificatrice et de langage commun entre les services. Avec une seule solution d'automatisation pour l'ensemble de vos plateformes, dans chaque service, vous pouvez établir des canaux d'interaction clairs pour faire face aux menaces de sécurité.

Ce que nous vous proposons pour vous aider

Les logiciels Open Source d'entreprise utilisent un modèle de développement qui améliore les tests et l'optimisation des performances. Ils reposent en général sur une équipe de sécurité, des processus pour résoudre les vulnérabilités émergentes ainsi que des protocoles pour signaler les problèmes de sécurité aux utilisateurs et les mesures correctives à appliquer. Il s'agit d'une version améliorée du réseau de confiance de l'Open Source, qui assure vos arrières en matière de sécurité informatique.

Avec Red Hat® Ansible® Automation Platform, vous pouvez automatiser et intégrer différentes solutions de sécurité pour simplifier l'examen des menaces dans l'entreprise et la mise en place d'une réponse, de manière coordonnée et unifiée, en utilisant un ensemble de modules, de rôles et de playbooks. Vous pouvez également intégrer des applications externes via des API, SSH, WinRM et d'autres méthodes d'accès standard ou déjà existantes.

La solution Red Hat Ansible convient pour toute la pile informatique, de l'infrastructure aux applications, et coordonne l'ensemble avec une couche de technologies de sécurité. Les équipes de sécurité peuvent utiliser cette solution pour gérer d'autres applications d'entreprise, comme les solutions SOAR.

Les outils pour vous aider

Red Hat Ansible Automation Platform

Plateforme d'automatisation sans agent.

Red Hat Insights

Solution qui permet d'identifier et d'écarter les risques pour la sécurité, la conformité et la configuration dans les environnements Red Hat® Enterprise Linux®.