Le SOAR, qu'est-ce que c'est ?

Le sigle anglais SOAR (Security Orchestration, Automation and Response, que l'on pourrait traduire par Orchestration, automatisation et réponse aux incidents de sécurité informatique) décrit les technologies qui permettent de protéger les systèmes informatiques contre les menaces.

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de sécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des renseignements sur les menaces. C'est le cabinet d'études Gartner qui a employé ce sigle pour la première fois. Les analystes de la sécurité désignent le même concept avec des signes différents : AIRO (Security Analytics, Intelligence, Response, and Orchestration) pour IDC et SAO (Security Automation and Orchestration) pour Forrester.

Le SOAR est généralement mis en œuvre en coordination avec le centre opérationnel de sécurité d'une entreprise. Les plateformes SOAR surveillent les flux de renseignement sur les menaces et déclenchent des réponses automatisées aux problèmes de sécurité, ce qui peut aider les équipes informatiques à maîtriser rapidement et efficacement les menaces sur de nombreux systèmes complexes.

L'automatisation de la sécurité consiste à exécuter des tâches d'exploitation liées à la sécurité sans intervention humaine. En matière de sécurité, le besoin d'automatisation est souvent plus élevé en raison de la complexité de l'infrastructure et d'une intégration sans doute insuffisante entre ses différentes parties. Pour déterminer les tâches qui peuvent et doivent être automatisées, il faut se poser les questions suivantes :

1. La tâche est-elle courante ? Doit-elle être exécutée régulièrement ?
2. La tâche est-elle fastidieuse ? Implique-t-elle de réaliser une série d'actions selon une démarche précise ? 
3. La tâche prend-elle du temps ? Cet ensemble d'actions monopolise-t-il votre équipe ?

Si vous avez répondu oui à l'une de ces questions, l'automatisation peut vous être utile et apporter de nombreux résultats positifs à votre entreprise, notamment la réduction du nombre d'erreurs humaines, une plus grande efficacité et rapidité ainsi qu'une meilleure cohérence dans les réponses aux incidents de sécurité.

L'un des principaux avantages de l'automatisation des tâches est qu'elle permet aux équipes de sécurité d'être plus efficaces et d'avoir plus de temps à consacrer à d'autres tâches. Comme il n'y a tout simplement pas assez de professionnels de la sécurité pour répondre aux besoins de toutes les entreprises, l'automatisation peut contribuer à combler cette pénurie de talents en aidant les équipes de sécurité à en faire plus, plus vite.

Les équipes chargées de la sécurité doivent jongler entre plusieurs outils et produits différents, tels que les logiciels de détection et de réponse au niveau des points d'accès (EDR), les pare-feu et les solutions de gestion des informations et des événements de sécurité (SIEM), qui ne sont souvent pas intégrés les uns avec les autres. La gestion manuelle de ces outils peut retarder la détection et la résolution des problèmes, générer des erreurs au niveau de la configuration des ressources et empêcher l'application cohérente des politiques. Les systèmes sont ainsi vulnérables face aux attaques graves et aux problèmes de conformité. L'automatisation permet de rationaliser les tâches quotidiennes et d'intégrer d'emblée la sécurité aux processus, aux applications et à l'infrastructure, comme dans le cadre d'une approche DevOps.

D'après le Ponemon Institute, la détection et le contrôle des failles de sécurité en 200 jours ou moins réduisent le coût moyen d'une faille de 1,22 million de dollars en moyenne. La détection rapide des menaces peut réduire la probabilité d'une violation de la sécurité et vous épargner les coûts qui y sont associés, mais l'application de mesures de correction sur plusieurs plateformes et outils peut s'avérer compliquée, longue et source d'erreurs.

Si les processus manuels peuvent retarder l'identification des menaces dans les écosystèmes informatiques complexes, l'automatisation des processus de sécurité aide les entreprises à identifier, valider et faire remonter les menaces plus rapidement, sans intervention manuelle. Les équipes de sécurité peuvent utiliser l'automatisation pour améliorer les temps de réponse et appliquer simultanément des correctifs aux systèmes affectés dans leurs environnements.

L'orchestration est basée sur des processus, alors que l'automatisation repose sur des tâches. L'orchestration de la sécurité permet de connecter et d'intégrer des outils et systèmes de sécurité différents afin de rationaliser les workflows de réponse. En connectant vos outils et systèmes, ainsi que les processus qui les gouvernent, vous pouvez tirer parti de l'automatisation dans tous vos environnements.

Si l'automatisation peut simplifier les workflows, les employés humains restent irremplaçables pour l'un des aspects les plus critiques du SOAR : l'orchestration de la sécurité de haut niveau. Celle-ci permet aux équipes informatiques de définir le processus selon lequel les tâches automatisées sont exécutées. Ce sont ces équipes qui décident des opérations à automatiser, pourquoi et quand.

Les informations sur les menaces font référence aux différents renseignements concernant les menaces existantes et émergentes qui pèsent sur les actifs des entreprises. Elles peuvent provenir d'une multitude de bases de données qui regroupent les vulnérabilités. Des méthodes de référence, comme la liste CVE, facilitent l'identification et le partage de ces vulnérabilités entre les diverses bases de données et plateformes. Les plateformes d'informations sur les menaces collectent ces renseignements via divers flux. Pour identifier les menaces potentielles, les outils SOAR utilisent plusieurs de ces flux. Ceux-ci sont ensuite regroupés dans une source unifiée qui peut être interrogée par les équipes et utilisée pour déclencher des tâches d'automatisation.

Sur le plan organisationnel, votre centre opérationnel de sécurité est au cœur de votre réponse de sécurité. Il peut néanmoins être difficile de coordonner les actions et de communiquer avec les nombreux services qui composent votre entreprise. L'automatisation peut servir de force unificatrice et de langage commun entre les services. Avec une seule solution d'automatisation pour l'ensemble de vos plateformes, dans chaque service, vous pouvez établir des canaux d'interaction clairs pour faciliter l'identification et le tri des menaces de sécurité les plus urgentes.

Les logiciels Open Source d'entreprise utilisent un modèle de développement qui améliore les tests et l'optimisation des performances. Ils reposent en général sur une équipe de sécurité, des processus pour résoudre les vulnérabilités émergentes ainsi que des protocoles pour signaler les problèmes de sécurité aux utilisateurs et les mesures correctives à appliquer. Il s'agit d'une version améliorée du réseau de confiance de l'Open Source, qui assure vos arrières en matière de sécurité informatique.

Avec Red Hat® Ansible® Automation Platform, vous pouvez automatiser et intégrer différentes solutions de sécurité pour simplifier l'examen des menaces dans l'entreprise et la mise en place d'une réponse, de manière coordonnée et unifiée, en utilisant un ensemble de modules, de rôles et de playbooks. Vous pouvez également intégrer des applications externes via des API, SSH, WinRM et d'autres méthodes d'accès standard ou déjà existantes.

La solution Ansible Automation Platform convient pour toute la pile informatique, de l'infrastructure aux applications, et coordonne l'ensemble avec une couche de technologies de sécurité. Les équipes chargées des opérations de sécurité peuvent utiliser cette solution pour gérer d'autres applications d'entreprise, comme les solutions SOAR.