Quelles sont aujourd’hui les limites d’un SOC traditionnel ?
Stéphane Landié : D'après une étude ESG de 2019, 42 % des organisations aux Etats-Unis utilisent entre 10 et 25 outils de sécurité ; 26 % en recenseraient même jusqu'à 503 ! Ces données donnent une idée du quotidien anxiogène des responsables sécurité des entreprises, qui reconnaissent avoir des difficultés à garder une longueur d'avance sur les cybermenaces. Et ce, plus particulièrement dans un contexte de multicloud, de croissance exponentielle des terminaux et de travail hybride… Souvent, dans les grandes entreprises, les experts sécurité travaillaient au sein du SOC, et s'appuyaient sur des solutions de gestion des informations et des événements de sécurité (SIEM) pour détecter, analyser et remédier aux menaces quasiment en temps réel. Pourtant, face à la complexité du paysage des menaces et aux nombreux moyens à disposition des cybercriminels, les SOC avaient atteint leur limite en matière de flexibilité et d'évolutivité. Avec des dizaines d'outils indépendants de sécurité à piloter, une avalanche d'alertes, de faux positifs et des tâches répétitives sans grande valeur ajoutée humaine, les SOC traditionnels devaient nécessairement évoluer.
Pierre Haikal : Les SOC traditionnels ont été mis en place il y a quelques années, quand les entreprises ont vu naître un réel besoin de réaction et de détection d’incidents. Les outils de l’époque n’incluaient pas d’intelligence, et reposaient donc uniquement sur l’expertise interne des analystes de l’entreprise. Le problème est qu’il faut alors beaucoup d’experts sur un grand nombre de sujets, et qu'il est compliqué de recruter des experts qualifiés passant une partie de leur temps à traiter des tâches répétitives, précisément en raison de ce manque d'intelligence des outils. Enfin, il était aussi difficile pour l’entreprise d’avoir une réelle vision de la valeur intrinsèque d’un SOC. Avant d’allouer du budget au SOC et à sa gestion, l’entreprise doit avoir la preuve qu’il remplit ses fonctions. Pour cela, il faut donc pouvoir se baser sur des métriques claires ainsi que des chiffres précis.
Comment le SOC moderne permet-il de faire face à ces limites ?
Pierre Haikal : Grâce aux nouveaux outils, il y a moins besoin d’analystes ; c’est pourquoi Nomios a fait le choix de ne recruter que des experts. Grâce aux nouveaux outils, qui incluent de plus en plus d’intelligence, nous travaillons avec ces experts qui configurent les outils et automatisent les tâches les plus répétitives. En complément aux connaissances des experts, nous pouvons donc également nous baser sur celles des outils et des constructeurs.
Par ailleurs, pour avoir une meilleure idée de la valeur concrète du SOC, nous effectuons avec chacun de nos clients un cycle itératif de définition des risques. Dans un premier temps, nous réalisons un audit de l’état actuel de la couverture de sécurité de l’entreprise, permettant de définir les techniques d’attaques qui sont couvertes (par le SOC, les outils de sécurité et les politiques) et celles qui ne le sont pas. L’étape suivante concerne l’implémentation technique de la détection des menaces ainsi que la gestion des alertes qui en découle.
Vient ensuite la gestion d’incidents, via l’outil XSOAR de Palo Alto Networks, qui se trouve au cœur de notre service. Cet outil nous permet d’automatiser la gestion des incidents, d’implémenter de la CTI ainsi que de proposer des solutions plus rapides au client. Enfin, nous nous concentrons également sur des mesures préventives, à la fois l’analyse des causes premières des incidents et les préconisations qui en découlent. Toutes ces étapes visent à l’amélioration continue de la sécurité globale de l’entreprise.
Stéphane Landié : A l’heure actuelle, pour simplifier les investigations et améliorer la précision des analyses, un SOC résilient et efficace doit offrir des opérations automatisées de détection et de réponse aux incidents. La détection permettra d'agréger de multiples sources de données issues de l'entreprise. L'automatisation de différents aspects de la détection accélère de facto les investigations. Les analystes apportent à ces données leur expérience et intuition et les contextualisent à l'aide de sources externes.
Riche de ces éléments, le SOC peut mettre en œuvre des actions de remédiation automatisées et activer rapidement un plan de réponse dès la détection d'une attaque. Toutes ces actions sont rendues possibles par la mise en œuvre de solutions SOAR, qui répondent aux incidents de sécurité de manière automatisée, tout en centralisant les actions afin de réduire la complexité des investigations. Ces solutions vont permettre, associées à l'intelligence humaine, de simplifier les opérations et bloquer les attaques plus rapidement, pour construire le profil d'un nouveau SOC augmenté.
Quels sont les avantages de la collaboration Nomios-Palo Alto ?
Stéphane Landié : Les menaces de sécurité évoluent aujourd’hui plus rapidement que les technologies de protection. C’est pourquoi des acteurs comme Palo Alto Networks fournissent des réponses innovantes aux défis de la sécurité, et leurs solutions sont intégrées par Nomios. Pour protéger leurs actifs, les organisations investissent dans des processus, des technologies ainsi que dans le recrutement de ressources qualifiées.
Pierre Haikal : Pour les entreprises, le SOAR est aujourd’hui un véritable couteau suisse en matière de SOC. Celui pour lequel nous avons opté chez Nomios est le XSOAR, de Palo Alto Networks. Il est le plus complet, à la fois en termes d’interconnexions, d’agilité et de simplicité de fonctionnement. La gestion de l’information face aux menaces est un premier pilier ; grâce à la solution XSOAR, nous pouvons savoir si une adresse ou un fichier est malveillant. Le second pilier concerne l’automatisation. XSOAR permet de créer des procédures ou « playbooks », auparavant conçus sur document. Nous tirons parti de l’expertise Nomios pour mettre au point ces playbooks. Par ailleurs, les solutions de SIEM sont hébergées directement chez le client ou en SaaS, installées par nos soins et interfacées avec notre SOAR. Si le client souhaite plus tard changer de prestataire, il est libre car tout est hébergé chez lui.
