Au cours des 5-10 dernières années, l’utilisation d’acronymes dans le secteur de la cybersécurité s’est développée de manière vraiment libre et autonome.

L’un des plus en vue à l’heure actuelle, celui qui semble faire des miracles, s’appelle SOAR. Security Orchestration, Automation et Response. Ces dernières années, SOAR a conquis le monde de la cybersécurité avec une promesse de simplification des opérations de sécurité grâce à l’automatisation.

Mais quelle est sa signification ?

Conçu par les analystes de Gartner, SOAR décrit l’intégration inévitable de quatre groupes d’outils différents : les plateformes Security Orchestration & Automation, Incident Response et Threat Intelligence. L’intégration de ces plateformes distinctes dans un seul et même ensemble d’outils harmonieux vise à permettre aux entreprises de réagir automatiquement aux incidents de sécurité, sans avoir besoin d’interventions particulières.

En standardisant la manière dont notre réseau interagit et se « répare » lui-même, nous limitons les erreurs coûteuses et les incohérences qui caractérisent si bien la condition humaine.

Maintenant que vous connaissez le concept, quels sont les principaux avantages de cet ensemble de technologies :

  • La réduction du MTTR (Mean-Time-To-Response) : Il est incontestablement vrai que, quelle que soit la qualité de votre équipe SOC, elle ne peut pas réagir à un incident ponctuel plus rapidement qu’un ordinateur. Cet avantage intrinsèque lié à la rapidité signifie que réduire le MTTR lors de l’utilisation de plateformes SOAR est une conséquence toute naturelle.
  • La réduction des Coûts Globaux d’Exploitation (Total Cost Operations) : En réduisant le nombre de processus manuels, en simplifiant les investigations que vos analystes doivent mener, vous pouvez améliorer leur efficacité et limiter ainsi les contraintes liées à l’augmentation des effectifs. Cet avantage n’est pas négligeable dans un monde où les ressources de cybersécurité se raréfient toujours un peu plus de jour en jour.
  • Un Impact Commercial Minimisé : En accélérant la réponse et en améliorant l’efficacité/la cohérence de celle-ci, les entreprises espèrent atténuer plus rapidement les actions potentiellement préjudiciables et limiter ainsi l’exposition à d’éventuels dommages ou, par exemple, un potentiel impact négatif sur la réputation.

Chez LogPoint, nous avons choisi d’intégrer notre solution SIEM à un certain nombre de plateformes SOAR leaders sur le marché, notamment DFLabs IncMan et Swimlane. En exploitant notre capacité à ingérer d’importants volumes de données, en fournissant des analyses de cybersécurité en temps réel et en générant des alertes, SOAR permet ainsi de gérer le processus de réponse aux incidents pour chaque alerte SIEM.

La combinaison de notre SIEM next-gen et de SOAR permet aux entreprises d’automatiser la plupart des tâches effectuées par les analystes cybersécurité et d’accélérer la détection des incidents ainsi que les interventions, permettant de passer de quelques heures à quelques secondes seulement. Elle automatise et orchestre les tâches manuelles et répétitives, qui prendraient des heures aux analystes, et garantit que toutes les alertes sont évaluées et identifiées pour permettre une future investigation plus approfondie si nécessaire.