[et_pb_section fb_built=\u00a0\u00bb1″ admin_label=\u00a0\u00bbSection\u00a0\u00bb _builder_version=\u00a0\u00bb4.22.0″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb custom_margin=\u00a0\u00bb0px||0px||false|false\u00a0\u00bb custom_padding=\u00a0\u00bb0px||0px||false|false\u00a0\u00bb locked=\u00a0\u00bboff\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_row column_structure=\u00a0\u00bb1_4,3_4″ _builder_version=\u00a0\u00bb4.27.0″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb custom_padding=\u00a0\u00bb50px||||false|false\u00a0\u00bb custom_css_main_element=\u00a0\u00bbz-index:0!important;\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_column type=\u00a0\u00bb1_4″ disabled_on=\u00a0\u00bbon|on|off\u00a0\u00bb _builder_version=\u00a0\u00bb4.22.0″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb custom_padding=\u00a0\u00bb||||false|false\u00a0\u00bb sticky_position=\u00a0\u00bbtop\u00a0\u00bb sticky_offset_top=\u00a0\u00bb100px\u00a0\u00bb sticky_limit_bottom=\u00a0\u00bbsection\u00a0\u00bb motion_trigger_start=\u00a0\u00bbtop\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_text admin_label=\u00a0\u00bbindice\u00a0\u00bb _builder_version=\u00a0\u00bb4.27.0″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb custom_margin=\u00a0\u00bb||0px||false|false\u00a0\u00bb custom_padding=\u00a0\u00bb||14px||false|false\u00a0\u00bb link_option_url=\u00a0\u00bb#1″ global_colors_info=\u00a0\u00bb{}\u00a0\u00bb]<\/p>\n
Sections<\/strong><\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=\u00a0\u00bb3_4″ _builder_version=\u00a0\u00bb4.27.0″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb custom_css_main_element=\u00a0\u00bbz-index:0!important;\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_text admin_label=\u00a0\u00bbseccion\u00a0\u00bb module_id=\u00a0\u00bb1″ module_class=\u00a0\u00bbittopicscontent\u00a0\u00bb _builder_version=\u00a0\u00bb4.27.0″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb z_index=\u00a0\u00bb0″ custom_margin=\u00a0\u00bb0px||0px||true|false\u00a0\u00bb custom_padding=\u00a0\u00bb0px||0px||false|false\u00a0\u00bb custom_css_main_element=\u00a0\u00bbfont-family:%22Pandora-Light%22;\u00a0\u00bb locked=\u00a0\u00bboff\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb]En cybers\u00e9curit\u00e9, il existe presque autant d\u2019acronymes que de vuln\u00e9rabilit\u00e9s. Et aujourd\u2019hui, nous allons nous pencher sur l\u2019un des plus importants si l\u2019on souhaite que notre d\u00e9partement de cybers\u00e9curit\u00e9 fonctionne de mani\u00e8re optimale : SOAR (pour Security Orchestration, Automation and Response, ou en fran\u00e7ais Orchestration de la s\u00e9curit\u00e9, Automatisation et R\u00e9ponse). Les films donnent l\u2019image d\u2019une cybers\u00e9curit\u00e9 incarn\u00e9e par des hackers ultra-comp\u00e9tents qui s\u2019affrontent dans un terminal, en tapant des incantations incompr\u00e9hensibles sur un \u00e9cran noir. Ou qui pianotent fr\u00e9n\u00e9tiquement des absurdit\u00e9s jusqu\u2019\u00e0 ce que le plus rapide annonce : \u00ab Je suis dedans. \u00bb Aujourd\u2019hui, d\u00e9ployer un SOAR est essentiel pour les organisations pr\u00e9sentant un minimum de complexit\u00e9, de taille ou d\u2019importance strat\u00e9gique. Pourquoi\u202f? Parce que la cybers\u00e9curit\u00e9 moderne ressemble davantage \u00e0 \u201cmourir \u00e0 petit feu par mille coupures\u201d<\/strong> qu\u2019\u00e0 un duel contre des attaquants hyper sophistiqu\u00e9s lan\u00e7ant des attaques zero-day de pointe. Sans SOAR, nous sommes plus vuln\u00e9rables<\/strong>. Car pendant que nos experts attribuent des tickets ou mettent \u00e0 jour des listes de blocage, un hacker s\u2019introduit par un appareil IoT, se d\u00e9place lat\u00e9ralement jusqu\u2019\u00e0 une imprimante, puis cherche \u00e0 compromettre d’autres \u00e9quipements et \u00e0 \u00e9lever ses privil\u00e8ges \u2013 tout cela pendant que nos \u201cgardiens du temple\u201d g\u00e8rent encore \u00e0 la main une \u00e9ni\u00e8me attaque DDoS.<\/p>\n Les piliers qui soutiennent une solution SOAR sont pr\u00e9cis\u00e9ment ceux indiqu\u00e9s par son acronyme :<\/p>\n L\u2019orchestration signifie la coordination des outils et syst\u00e8mes de s\u00e9curit\u00e9, tels qu\u2019un SIEM<\/a>, des EDRs, des pare-feux, etc. Selon la solution choisie, cette orchestration peut s\u2019effectuer via des API, des connecteurs ou d\u2019autres moyens. Au c\u0153ur du fonctionnement d\u2019un SOAR se trouvent les playbooks<\/strong> dont nous avons parl\u00e9 pr\u00e9c\u00e9demment. Il est important de ne pas confondre un playbook avec un runbook<\/strong>. Ce dernier est un processus lin\u00e9aire, comme une recette de cuisine, qui d\u00e9crit \u00e9tape par \u00e9tape comment effectuer une t\u00e2che (par exemple, red\u00e9marrer un service tomb\u00e9 en panne). Les avantages d’un SOAR sont clairs. \u00c0 notre petit arm\u00e9e de cybers\u00e9curit\u00e9, nous ajoutons des drones automatis\u00e9s qui se d\u00e9ploient sur le champ de bataille d\u00e8s que la surveillance de s\u00e9curit\u00e9<\/a> d\u00e9tecte quelque chose. Cela nous permet d’\u00e9liminer ces \u00ab\u202fpetites coupures\u202f\u00bb constantes qui saignent nos ressources. <\/p>\n Cela se traduit par :<\/p>\n Nous avons d\u00e9j\u00e0 vu des exemples de menaces pour lesquelles un SOAR<\/A> est id\u00e9al afin d’\u00e9viter de rendre (encore plus) fous nos ing\u00e9nieurs, mais d’autres cas d’utilisation fr\u00e9quents sont : <\/p>\n En cybers\u00e9curit\u00e9, comme dans la vie, il n’existe ni noir ni blanc, ni fronti\u00e8res toujours bien d\u00e9limit\u00e9es. De plus, il y a une tendance naturelle pour les outils \u00e0 vouloir \u00e9largir leurs fonctionnalit\u00e9s. Ainsi, un SIEM peut inclure quelques fonctions de r\u00e9ponse automatis\u00e9e, et un SOAR quelques capacit\u00e9s d’analyse, mais la cl\u00e9 d’une s\u00e9curit\u00e9 optimale r\u00e9side dans la collaboration \u00e9troite entre les deux sp\u00e9cialistes<\/strong>. SIEM (D\u00e9tection)<\/strong><\/p>\n<\/td>\n SOAR (R\u00e9ponse)<\/strong><\/p>\n<\/td>\n<\/tr>\n Fonction principale<\/strong><\/p>\n<\/td>\n Collecte et corr\u00e8le des journaux pour d\u00e9tecter des anomalies.<\/p>\n<\/td>\n Automatise et coordonne la r\u00e9ponse aux incidents.<\/p>\n<\/td>\n<\/tr>\n Approche<\/strong><\/p>\n<\/td>\n \u00ab Que se passe-t-il ? \u00bb<\/p>\n<\/td>\n \u00ab Comment le r\u00e9soudre ? \u00bb<\/p>\n<\/td>\n<\/tr>\n T\u00e2ches principales<\/strong><\/p>\n<\/td>\n – Agr\u00e9ger des journaux provenant de multiples sources.<\/p>\n – G\u00e9n\u00e9rer des alertes bas\u00e9es sur des r\u00e8gles.<\/p>\n – Assurer la conformit\u00e9 r\u00e9glementaire (RGPD, ISO 27001\u2026).<\/p>\n<\/td>\n – Ex\u00e9cuter des playbooks de r\u00e9ponse.<\/p>\n – Orchestrer des outils (EDR, firewall).<\/p>\n – G\u00e9rer les faux positifs.<\/p>\n<\/td>\n<\/tr>\n Automatisation<\/strong><\/p>\n<\/td>\n Limit\u00e9e.<\/p>\n<\/td>\n Avanc\u00e9e.<\/p>\n<\/td>\n<\/tr>\n Interaction humaine<\/strong><\/p>\n<\/td>\n Fr\u00e9quente.<\/p>\n<\/td>\n R\u00e9duit la charge gr\u00e2ce \u00e0 l’automatisation.<\/p>\n<\/td>\n<\/tr>\n Exemple pratique<\/strong><\/p>\n<\/td>\n D\u00e9tecte 50 tentatives de connexion \u00e9chou\u00e9es depuis une IP externe, envoie une alerte au SOAR.<\/p>\n<\/td>\n Bloque l’IP, r\u00e9initialise le mot de passe et notifie le SOC.<\/p>\n<\/td>\n<\/tr>\n Avantage cl\u00e9<\/strong><\/p>\n<\/td>\n Visibilit\u00e9 centralis\u00e9e des menaces.<\/p>\n<\/td>\n R\u00e9ponse rapide et standardis\u00e9e.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Un SOAR ne peut pas fonctionner seul. Il d\u00e9pend, comme nous l’avons vu, de sa connexion \u00e0 un SIEM (le cas \u00e9ch\u00e9ant) ou \u00e0 d’autres programmes (comme un IDS) pour savoir sur quoi agir. Mais il d\u00e9pend \u00e9galement de sa capacit\u00e9 \u00e0 se connecter \u00e0 d’autres dispositifs pour pouvoir ex\u00e9cuter ses playbooks. C’est l\u00e0 toute l’orchestration \u00e9voqu\u00e9e dans son nom, dirigeant les autres \u00e9l\u00e9ments avec sa baguette pour r\u00e9pondre aux menaces. Comme on peut le voir, le SOAR d\u00e9pend de ces connexions avec d’autres technologies \u2014 \u00e0 la fois en r\u00e9ception et en action \u2014 pour orchestrer et automatiser la r\u00e9ponse.<\/p>\n Apr\u00e8s avoir lu cela, tout responsable de cybers\u00e9curit\u00e9 voudra s\u00fbrement disposer de cette arm\u00e9e de petits \u00ab robots programmables \u00bb, qui aident dans les t\u00e2ches fastidieuses sans jamais demander \u00e0 manger ni se plaindre, contrairement \u00e0 leurs ing\u00e9nieurs.\n
\nLa mise en \u0153uvre de cette approche conditionnera notre capacit\u00e9 \u00e0 r\u00e9agir aux incidents de fa\u00e7on rapide et, surtout, efficace.
\nDans cet article, nous allons donc analyser ce qu\u2019est le SOAR, \u00e0 quoi il sert, comment il fonctionne, et comment il peut d\u00e9multiplier notre efficacit\u00e9 face aux menaces \u2013 ou, au minimum, rendre nos journ\u00e9es un peu plus supportables.<\/p>\nQu\u2019est-ce que le SOAR ?<\/h2>\n
\nLa r\u00e9alit\u00e9 est tout autre : des claviers pleins de miettes de chips, des script kiddies recopiant des commandes sans comprendre, des tonnes de spam et de phishing chaque minute, et des utilisateurs qui cliquent exactement l\u00e0 o\u00f9 on leur a dit de ne surtout pas cliquer.
\nDans ce contexte, le SOAR est une technologie qui poursuit deux objectifs principaux :<\/p>\n\n
\nScans de ports constants, milliers d\u2019emails de phishing, r\u00e9utilisation de credentials compromis disponibles sur le dark web… Nous sommes comme Gulliver, submerg\u00e9s par une arm\u00e9e de lilliputiens num\u00e9riques.
\nDans ce contexte, il faut automatiser la r\u00e9ponse<\/strong>, sinon vos experts passeront leur temps \u00e0 g\u00e9rer manuellement des menaces basiques. Un gaspillage pur et simple de ressources.<\/strong>
\nLe SOAR permet d\u2019ex\u00e9cuter automatiquement ces t\u00e2ches lourdes, r\u00e9p\u00e9titives mais indispensables<\/strong>, Il ne remplace pas le SOC<\/a> : il soulage sa charge, en lib\u00e9rant les analystes humains pour qu\u2019ils se consacrent \u00e0 des t\u00e2ches complexes \u00e0 forte valeur ajout\u00e9e (comme saturer la bande passante avec tous les \u00e9pisodes de Star Trek), pendant que les r\u00e9ponses automatis\u00e9es s\u2019occupent des blocages d\u2019IP ou de la gestion du phishing.<\/p>\nComposants cl\u00e9s d’une solution SOAR<\/h2>\n
\n
\nCette orchestration permet ensuite l\u2019automatisation de contre-mesures<\/strong>, qui constitue le second pilier fondamental d\u2019un SOAR.
\nUn exemple tr\u00e8s simple serait l\u2019analyse des pi\u00e8ces jointes dans les emails. Dans l\u2019outil SOAR, on peut cr\u00e9er un flux de r\u00e9ponse (appel\u00e9 playbook, que nous approfondirons plus tard) pour ce type de cas. Ce playbook pourrait analyser les pi\u00e8ces jointes, v\u00e9rifier s\u2019il s\u2019agit de malwares et, dans ce cas, bloquer l\u2019exp\u00e9diteur et placer le message en quarantaine. Peut-\u00eatre m\u00eame envoyer une alerte \u00e0 cet exp\u00e9diteur s\u2019il appartient au domaine de l\u2019entreprise, en suspendant pr\u00e9ventivement son compte.
\nLes playbooks de r\u00e9ponse automatis\u00e9e peuvent \u00eatre extr\u00eamement flexibles, et gr\u00e2ce \u00e0 eux, vous n\u2019aurez pas besoin de gaspiller cinq ann\u00e9es d\u2019ing\u00e9nierie \u00e0 analyser des fichiers attach\u00e9s ou \u00e0 bloquer manuellement des comptes.
\nEnfin, vient le troisi\u00e8me pilier : la r\u00e9ponse. Dans bien des cas, elle est d\u00e9j\u00e0 int\u00e9gr\u00e9e aux flux automatis\u00e9s mentionn\u00e9s ci-dessus, mais elle peut varier selon le type de menace.
\nPar exemple, pour des incidents simples comme celui-ci, on peut automatiser ce blocage de compte pr\u00e9ventif. Dans d’autres cas, le playbook peut exiger une validation humaine, en g\u00e9n\u00e9rant par exemple un message destin\u00e9 au SOC afin qu\u2019il prenne une d\u00e9cision ou intervienne manuellement.<\/p>\nComment fonctionne un SOAR ?<\/h2>\n
\nUn playbook (ou \u00ab\u202flivre de jeux\u202f\u00bb, un terme emprunt\u00e9 au football am\u00e9ricain, o\u00f9 il d\u00e9signe des strat\u00e9gies pr\u00e9d\u00e9finies que les joueurs connaissent et que les leaders activent sur le terrain) est un flux de travail automatis\u00e9<\/Strong>qui indique au SOAR ce qu\u2019il doit faire dans chaque situation.
\nSelon l\u2019outil SOAR choisi, la cr\u00e9ation de ce flux peut se faire en code (Python, par exemple) ou via des interfaces low-code ou no-code.
\nPar exemple, Splunk SOAR permet de d\u00e9finir des playbooks de mani\u00e8re visuelle, en cr\u00e9ant un diagramme de flux indiquant les actions \u00e0 entreprendre dans chaque sc\u00e9nario, sans avoir \u00e0 \u00e9crire de conditions \u00ab\u202fif\u202f\u00bb en ligne de commande.
\nUn exemple de flux de travail typique serait le suivant :<\/p>\n\n
\nLes playbooks, quant \u00e0 eux, sont souvent plus complexes et non lin\u00e9aires, prenant des d\u00e9cisions bas\u00e9es sur des conditions sp\u00e9cifiques plut\u00f4t que de suivre toujours la m\u00eame s\u00e9quence d\u2019\u00e9tapes comme le ferait un runbook.<\/p>\nAvantages de l’impl\u00e9mentation d’un SOAR dans votre organisation<\/h2>\n
\n
Cas d’utilisation courants d’un SOAR<\/h2>\n
\n
Diff\u00e9rences entre SOAR et SIEM : rivalit\u00e9 ou compl\u00e9mentarit\u00e9 ?<\/h2>\n
\n Ainsi, par exemple, un logiciel IDS comme Snort est fortement incit\u00e9 \u00e0 ne pas seulement scanner le r\u00e9seau, mais aussi \u00e0 ajouter des capacit\u00e9s de pr\u00e9vention, devenant ainsi un IPS.
\nUn SIEM et un SOAR occupent g\u00e9n\u00e9ralement une \u00ab position contigu\u00eb \u00bb au sein de l’architecture de cybers\u00e9curit\u00e9. C’est pourquoi ils ont tendance \u00e0 flouter la fronti\u00e8re qui les s\u00e9pare, chacun adoptant parfois des fonctionnalit\u00e9s de l’autre pour rendre sa solution plus attrayante.
\nCependant, SIEM et SOAR restent deux sp\u00e9cialistes d’\u00e9lite, chacun dans son domaine :<\/p>\n\n
\nCependant, il est vrai que la qualit\u00e9 de la r\u00e9ponse d\u00e9pendra de la qualit\u00e9 des informations fournies<\/strong>.
\nSinon, le SOAR commencera \u00e0 bloquer massivement des IPs inutiles si les donn\u00e9es re\u00e7ues sont m\u00e9diocres, ou \u00e0 supprimer des emails qui auraient d\u00fb \u00eatre livr\u00e9s. D’o\u00f9 l’importance cruciale d’un SIEM solide, capable d’agr\u00e9ger et d’analyser correctement les donn\u00e9es avant d’alerter le SOAR.
\nEn r\u00e9sum\u00e9 :<\/p>\n\n\n
\n <\/td>\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n Int\u00e9gration de SOAR avec d’autres outils de s\u00e9curit\u00e9<\/h2>\n
\nC\u2019est ici qu\u2019entre en jeu l’importance des API et des connecteurs : ils doivent \u00eatre faciles \u00e0 configurer et la solution doit savoir travailler en \u00e9quipe.
\nPrenons un exemple d’architecture SOAR moderne et voyons comment ses connexions fonctionneraient dans un cas simple de malware<\/A>.<\/p>\n\n
Consid\u00e9rations pour mettre en place une solution SOAR<\/h2>\n
\nCependant, le SOAR n’est pas la solution miracle pour toutes les organisations. Avant de se lancer, certaines consid\u00e9rations doivent \u00eatre prises en compte.
\nLa premi\u00e8re : une analyse des besoins.
\n En fonction de nos ressources et de l\u2019infrastructure \u00e0 prot\u00e9ger, il se peut qu\u2019un SOAR ne soit pas n\u00e9cessaire et que d\u2019autres solutions offrant une r\u00e9ponse partiellement automatis\u00e9e soient suffisantes. Il faut garder \u00e0 l’esprit qu’un SOAR ajoute de la complexit\u00e9 \u00e0 plusieurs niveaux, et il convient de se poser des questions cl\u00e9s, comme :<\/p>\n