La SOAR est-elle morte ou vive ? Un peu des deux

Qu’est-ce que la SOAR ?

Gartner a inventé le terme « SOAR » il y a près de dix ans pour désigner une suite d’outils de sécurité qui collecte des données sur les menaces détectées et y répond automatiquement ou avec une intervention humaine minimale. Ce concept a été présenté comme un moyen d’optimiser la productivité des équipes de sécurité.

La SOAR comprend les trois composantes suivantes, qui forment un système déterministe permettant d’identifier les incidents de sécurité et d’y réagir :

• Orchestration. Processus consistant à faire fonctionner de concert tous les outils de sécurité nécessaires, tels que les solutions de protection des terminaux, les plateformes SIEM et les pare-feu, et à les intégrer à une application SOAR centrale. Cela s’effectue par le biais d’intégrations personnalisées ou intégrées.
• Automatisation. Elle se déclenche en réponse à des signaux provenant du système d’orchestration de la sécurité. Lorsqu’une menace est détectée, la SOAR envoie une alerte et peut réagir automatiquement selon des critères prédéfinis.
• Réponse. Désigne les mesures prises par l’application de SOAR dès qu’elle identifie une menace potentielle, soit en agissant de manière autonome, soit en envoyant une alerte à un opérateur humain. Les équipes de sécurité peuvent consulter les activités de réponse sur un tableau de bord.

Qu’est-il arrivé à la SOAR ?

Le concept SOAR a séduit les responsables de la cybersécurité en entreprise. Les talents dans ce domaine se faisaient rares, et l’idée d’alléger la charge de travail des équipes de sécurité grâce à l’automatisation constituait – et constitue toujours – un argument de vente majeur. À un moment donné, pas moins de 20 fournisseurs proposaient des produits SOAR autonomes. Les grands éditeurs de solutions de sécurité s’en sont rendu compte et ont racheté des éditeurs de SOAR ; la plupart ont intégré ces fonctionnalités à des plateformes de sécurité plus larges afin de combler les lacunes de leur propre offre. À commencer par Splunk, dès 2018, avec Phantom Cyber.

La mise en œuvre et la maintenance ont toutefois posé des difficultés. La SOAR étant un produit autonome de plus dans la pile de sécurité, les fournisseurs ont dû mener un combat difficile pour démontrer que l’effort de mise en œuvre en valait la peine.

« Les entreprises ont eu du mal à mettre en œuvre la SOAR pour plusieurs raisons », explique Kevin Schmidt, analyste et directeur principal chez Gartner. « Il fallait écrire du code ou des scripts, ou utiliser une interface quelconque pour créer des blocs exécutables que l’on reliait ensuite entre eux ».

Plus une organisation comprenait et gérait efficacement ses workflows, ses procédures de sécurité et son infrastructure technologique, plus il lui était facile de mettre en œuvre et de maintenir un système SOAR. Selon Kevin Schmidt, les intégrations nécessaires posaient des défis de maintenance à court et à long terme, qui s’aggravaient lorsque les personnes qui en avaient la maîtrise quittaient l’organisation : « étant donné que la SOAR repose sur du code, elle s’avère parfois très fragile ».

Pour exploiter efficacement les technologies SOAR traditionnelles », ajoute Cody Cornell, PDG et fondateur de Swimlane, un fournisseur de solutions d’automatisation de la sécurité, « une équipe SecOps devait posséder de l’expérience dans la gestion des incidents, les opérations de sécurité, le renseignement sur les menaces et le cadre MITRE ATT&CK : « trouver quelqu’un qui maîtrisait [tout] cela était difficile ». Les équipes devaient également savoir comment traduire les connaissances en matière de sécurité en logique et en règles – ce que, selon Cody Cornell, trop peu de gens étaient capables de faire.

Puis, vers 2020, de nouveaux produits SOAR de type « low-code » ou « no-code » ont ravivé l’intérêt pour cette technologie. « Beaucoup de gens ont suivi le mouvement parce que les démonstrations étaient impressionnantes », explique Matt Rodriguez, directeur des services chez Phoenix Cyber, un cabinet de conseil en cybersécurité : elles montraient « ce que cette plateforme pouvait faire, avec juste quelques réglages simples, pour votre environnement ».

Les programmes de sécurité les plus avancés – ceux qui maîtrisent bien leurs workflows et l’ingénierie des processus – ont souvent des expériences positives avec l’adoption de solutions SOAR « low-code » ou « no-code », relève Nelson Conard, directeur des solutions de cybersécurité chez Phoenix Cyber. Alors « quant à ceux qui rencontrent des difficultés, c’est simplement qu’ils n’ont pas encore atteint ce niveau de maturité ; leur approche est trop ponctuelle ». Dès lors, « supprimer l’intervention humaine du processus devient un défi plus important ».

Alors que les équipes SecOps s’efforçaient de tirer parti de ces avantages et de surmonter ces défis, la SOAR s’est forgé une certaine réputation dans le secteur.

« Tout semble plus simple dans la démo », souligne Matt Rodriguez : « même si les solutions low-code/no-code facilitent la création de playbooks et de workflows, elles présentent tout de même des complications. Le problème, c’est que parfois, le client ne connaît pas suffisamment bien son propre environnement pour pouvoir l’automatiser ».

Ce que l’IA signifie pour SOAR

Aujourd’hui, les agents d’IA capables de créer et de gérer des pipelines d’automatisation qui nécessitaient auparavant une expertise et une supervision humaines importantes peuvent simplifier davantage la mise en œuvre de la SOAR et apporter plus de flexibilité et d’adaptabilité aux environnements SOAR. Par exemple, une organisation pourrait théoriquement créer des agents qui reflètent sa tolérance au risque ou ses préférences en matière de sécurité.

La combinaison SOAR/IA présente un autre avantage : il n’y a pas de « boîte noire » de l’IA. Chaque action effectuée par un utilisateur – qu’il s’agisse d’un humain ou d’un agent – doit être visible via le tableau de bord SOAR.

Il convient toutefois de noter que l’utilisation de l’IA a un coût, et que son évolution tarifaire reste incertaine. Les entreprises doivent donc faire preuve de prudence quant au moment et à l’endroit où elles déploient des agents IA au sein de leurs environnements SOAR, avertit Thomas Kinsella. Ce qui signifie que les workflows déterministes de la SOAR restent un élément essentiel de l’automatisation de la sécurité.

« Si vous recevez une alerte de sécurité et que vous connaissez la procédure à suivre, il n’y a aucune raison qu’un agent IA s’en charge », souligne ainsi Thomas Kinsella : « vous devriez vous fier à un résultat déterministe pour une situation dont vous savez qu’elle est déterministe ». Il recommande d’utiliser des agents IA pour les situations probabilistes, comme le résumé des alertes ou l’évaluation des alertes dont la gravité est incertaine.

De son côté, Cody Cornell reconnaît que le recours au système d’automatisation sous-jacent de la SOAR permettrait de réduire les coûts liés à l’IA : « le coût de l’automatisation est bien inférieur à celui des tokens d’IA ». Pour lui, « l’intérêt de cette combinaison réside dans le fait que l’utilisation de l’IA pour créer des pipelines d’automatisation constitue une approche bien plus prévisible, fiable, sûre et rentable pour mener à bien les opérations de sécurité ».

Selon Matt Rodriguez, la décision de compléter ou de remplacer SOAR par des outils d’IA devrait en fin de compte dépendre du retour sur investissement. « [Avec un] retour sur investissement multiplié par cinq pour [nos] clients qui obtiennent d’excellents résultats [avec la SOAR], l’IA ne semble pas aussi attrayante car son coût est pour l’instant inconnu », relève-t-il. Et cela car « nous connaissons le coût réel de l’exécution d’automatisations à l’aide d’API et de code au sein d’une infrastructure cloud, et il est inférieur à quelques centimes par dollar. »

Nelson Conard estime pour sa part que les utilisateurs de SOAR devront bientôt réévaluer les coûts et les avantages de l’IA : « [l’IA] est un peu comparable aux défis liés au cloud que nous avons connus lors de son apparition ». À savoir que « tout le monde se précipitait pour passer au cloud. Tout le monde se précipite aujourd’hui pour se doter d’une solution d’IA. Ce n’est qu’une fois que nous avons commencé à nous rendre dans ces centres de calcul que nous avons vraiment pris conscience du coût réel ».

Quelle est la prochaine étape pour SOAR ?

Alors que la SOAR était autrefois un produit qui convenait surtout aux grandes entreprises disposant de ressources abondantes, de systèmes disparates et de programmes de sécurité bien établis, il est aujourd’hui de plus en plus accessible. « Il a désormais évolué au point d’être accessible aux entreprises de taille moyenne et aux plus petites, et il est même utilisé par les fournisseurs de services managés », indique ainsi Nelson Conard.

Dans cette optique, les entreprises qui utilisent avec succès les solutions de SOAR traditionnelles ne sont pas près de les abandonner, selon Kevin Schmidt de Gartner : « on ne jette pas un outil qui fonctionne simplement, pour se précipiter sur les nouvelles technologies d’IA aussi spectaculaires et séduisantes soient-elles ».

Au contraire, les organisations qui continuent à utiliser la SOAR pourraient y associer l’IA. Par exemple, selon les experts, l’IA pourrait faciliter les tâches liées à la gestion du changement, aux pistes d’audit, aux mécanismes de sécurité et aux restaurations au sein du SOC.

« Cherchez des moyens d’intégrer un appel à un grand modèle linguistique pour vous aider sur certains aspects que vous ne pouvez pas traiter dans le playbook ou pour vérifier certains textes provenant d’une base de données », illustre ainsi Kevin Schmidt. Car pour lui, « à terme, la SOAR va évoluer pour devenir un logiciel autonome, un SOC basé sur l’IA. »