Au cours des 5-10 dernières années, l’utilisation d’acronymes dans le secteur de la cybersécurité s’est développée de manière vraiment libre et autonome.

L’un des plus en vue à l’heure actuelle, celui qui semble faire des miracles, s’appelle SOAR (Security Orchestration, Automation et Response). Ces dernières années, le SOAR a conquis le monde de la cybersécurité avec une promesse de simplification des opérations de sécurité grâce à l’automatisation.

Mais quelle est sa signification ?

Conçu par les analystes de Gartner, SOAR décrit l’intégration inévitable de quatre groupes d’outils différents : les plateformes Security Orchestration & Automation, Incident Response et Threat Intelligence. L’intégration de ces plateformes distinctes dans un seul et même ensemble d’outils homogènes vise à permettre aux entreprises de répondre automatiquement aux incidents de sécurité, sans avoir besoin d’interventions particulières.

En standardisant la manière avec laquelle notre réseau interagit et se « répare » lui-même, nous limitons les erreurs coûteuseset les incohérences qui caractérisent si bien l’être humain.

Maintenant que vous connaissez le concept, quels sont les principaux avantages de cet ensemble de technologies :

  • La réduction du MTTR (Mean-Time-To-Response) : quelle que soit la qualité de votre équipe SOC, il est incontestable qu’elle ne pourra pas répondre à un incident ponctuel plus rapidement qu’un ordinateur. Cet avantage intrinsèque lié à la rapidité signifie que réduire le MTTR lors de l’utilisation de plateformes SOAR est une conséquence toute naturelle.
  • La réduction des coûts globaux des opérations (Total Cost Operations) : en réduisant le nombre de processus manuels, en simplifiant les investigations que vos analystes doivent mener, vous pouvez améliorer leur efficacité et limiter ainsi les contraintes liées à l’augmentation des effectifs. Cet avantage n’est pas négligeable dans un monde où les ressources en matière de cybersécurité se raréfient toujours un peu plus chaque jour.
  • Un impact commercial minimisé : en accélérant la réponse et en améliorant l’efficacité/la cohérence de celle-ci, les entreprises espèrent mitiger plus rapidement les actions potentiellement préjudiciables et limiter ainsi l’exposition àd’éventuels dommages ou, par exemple, un potentiel impact négatif sur la réputation.

Chez LogPoint, nous avons choisi d’intégrer notre solution SIEM à un certain nombre de plateformes SOAR leaders sur le marché, notamment DFLabs IncMan et Swimlane. En exploitant notre capacité à ingérer d’importants volumes de données, en fournissant des analyses de cybersécurité en temps réel et en générant des alertes, le SOAR permet ainsi de gérer le processus de réponse aux incidents pour chaque alerte SIEM.

La combinaison de notre Modern SIEM et du SOAR permet aux entreprises d’automatiser la plupart des tâches effectuées par les analystes en cybersécurité et d’accélérer la détection des incidents ainsi que les interventions, permettant ainsi de passer de quelques heures à quelques secondes seulement. Elle automatise et orchestre les tâches manuelles et répétitives, qui prendraient des heures aux analystes, et garantit que toutes les alertes soient évaluées et identifiées afin de permettre une future investigation plus approfondie si nécessaire.