On Oz
Orchestration et automatisation : deux piliers de la gestion des incidents au service du SOC
06/10/2019

Orchestration et automatisation : deux piliers de la gestion des incidents au service du SOC

Face à l’augmentation du nombre d’incidents à traiter et à la difficulté à recruter des profils experts en nombre suffisant, les SOC doivent se tourner vers d’autres stratégies pour continuer à faire face.

S’il n’est pas question de remplacer l’homme par la machine, il est nécessaire de libérer les analystes des tâches les plus ingrates et de mieux valoriser leur expertise.

Les centres d’opérations de sécurité (SOC) sont débordés. « Le nombre d’incidents de sécurité, la taille des infrastructures et la quantité d’actifs à surveiller sont en croissance permanente. Et il y a pénurie de compétences, ce qui induit une forte concurrence sur le recrutement d’experts », observe Arnaud Cassagne, expert en cybersécurité et évangéliste chez ACKnowledge.

 

Dans ces conditions, il est évidemment hors de question de consacrer de précieuses ressources à des tâches répétitives. « L’objectif est de rester en mode automatique tant que la réflexion n’est pas nécessaire », explique Cyrille Badeau, Directeur Europe du Sud chez ThreatQuotient.

 

L’orchestration a ainsi pour rôle de traiter la masse des événements en « orchestrant » leur cheminement à travers diverses analyses techniques, menées avec des outils ou des services jadis consultés manuellement (ce qui constitue « l’automatisation »).

 

Tant que ces différentes analyses n’émettent pas le moindre doute, l’opération demeure entièrement automatique : les machines parlent entre elles. Un exemple typique est celui de la lutte contre le l’hameçonnage ciblé : « l’on peut interroger Virus Total, puis faire détonner dans une sandbox et récupérer le résultat si Virus Total ne donne rien. Si l’une de ces opérations identifie des marqueurs connus liés à une menace, alors l’incident est marqué automatiquement comme “résolu” et l’orchestrateur peut partager ces marqueurs malveillants avec des équipements de filtrage », détaille Cyrille Badeau.

 

Attention toutefois : la machine n’est pas omnisciente : « Un orchestrateur seul n’a pas de mémoire, il peut faire cent fois la même tâche sur des emails liés à une même campagne sans déceler de lien. Il est donc nécessaire d’associer les machines et les analystes au sein d’une plateforme commune pour faire émerger le contexte », prévient Cyrille Badeau.

 

Mais une fois mises en place, ces approches livrent tous leurs bénéfices : « Elles redonnent aux hommes le temps de travailler plus sereinement. Sans elles, les opérateurs SOC finissent une journée avec plus d’incidents ouverts que le matin même. J’observe que cela créé en quelques mois une certaine fatigue, pour ne pas dire lassitude, au sein des équipes », conclut Arnaud Cassagne.

Nos autres billets d'humeur...
09/10/2019

Cybersécurité : l’heure de la concorde public-privé ?

La cybersécurité a pour particularité qu’elle ne fait pas grande distinction entre les besoins de protection des entreprises et ceux des intérêts vitaux de la Nation. Les uns on...

06/10/2019

Comptes à privilèges : l’incroyable oubli !

On pourrait imaginer que les comptes utilisateurs qui donnent accès aux systèmes les plus sensibles de l’entreprise sont les mieux protégés. Hélas, c’est loin d’être toujours le...

06/10/2019

Zero Trust : penser la sécurité autrement

Imaginé par Google, le modèle de sécurité Zero Trust prend le contre-pied des habitudes courantes : le réseau « privé » n’existe plus, et tout est accessible de partout. De quoi...

06/10/2019

Office 365 : nouvelle cible préférée des pirates ?

De tout temps, les criminels ont suivi les évolutions de leurs victimes. Aujourd’hui, alors que les entreprises migrent massivement vers le Cloud public en général et vers l’off...

06/10/2019

L’espionnage : un risque à prendre à compte pour les entreprises

Alors que les attaques par rançongiciel ou les escroqueries purement financières font la Une de l’actualité, le risque d’espionnage, par nature moins visible, a parfois du mal à...

06/10/2019

Le DevSecOps : l’alliance indispensable de la sécurité, du code et de l’infrastructure

Si jadis les trois ne se parlaient pas vraiment, il est désormais indispensable d’associer la sécurité aux développeurs et aux exploitants de l’infrastructure pour assurer une m...

06/10/2019

Attaques ciblées : quand les cybercriminels se professionnalisent

La montée en gamme des attaquants se traduit par des attaques plus ciblées, plus discrètes, motivées par un gain financier et conduites par des attaquants de très bon niveau.

06/10/2019

Cyber Kill Chain : comprendre l’attaquant pour mieux le bloquer

L’attaquant doit mener toute une série d’actions pour conduire son opération. Un équipementier de défense américain, Lockheed Martin, a modélisé cette séquence afin de mieux com...