Andrey Kuzmin - Fotolia

Automatisation et orchestration s'imposent résolument dans la sécurité informatique

Un nombre croissant d'entreprises commencent à y avoir recours. Plusieurs rachats, l'an passé et plus récemment, tendent à confirmer la tendance.

Splunk vient d’annoncer le rachat de Phantom Cyber, éditeur d’une plateforme d’orchestration de la sécurité. Loin de constituer une surprise, cette opération signale qu’un tournant a été franchi. De fait, les entreprises essaient d’avoir de plus en plus recours à l’automatisation pour se défendre des menaces. Mais les difficultés demeurent, et l’orchestration autour des alertes de sécurité reste difficile.

C’est du moins ce que laisse entrevoir la 11e édition du rapport annuel de Cisco sur la cybersécurité. Selon celle-ci, 39 % des RSSI s’appuient sur l’automatisation. Mais 74 % considère que l’orchestration est au moins quelque peu difficile. Et sans surprise, la difficulté de l’exercice progresse à mesure que se complexifie l’environnement et que s’intensifie son hétérogénéité. Et celle-ci n’est pas appelée à se réduire : 72 % des RSSI préfèrent les approches dites best-of-breed aux solutions intégrées, en particulier parce que les premières permettent de répondre plus aisément à des besoins spécifiques.

Une tendance de fond

Puisque la complexité n’est pas prête de disparaître, l’orchestration et l’automatisation apparaissent plus que jamais un rôle important à jouer dans l’organisation de la défense.

Le marché n’a d’ailleurs pas attendu cette année pour s’intéresser au sujet. Début 2016, IBM s’était ainsi offert Resilient Systems, marchant dans les pas de FireEye, un mois après l’annonce du rachat d’Invotas. Cette opération a d’ailleurs récemment permis à celui-ci de lancer Helix, une plateforme qui ambitionne de « simplifier, intégrer, et automatiser les opérations de sécurité ».

Et c’est sans compter avec Intel Security (McAfee) qui indiquait à l’automne 2016 travailler avec un groupe restreint de clients au développement de systèmes combinant humain et machine pour automatiser des workflows et orchestrer le fonctionnement des contrôles de sécurité. A la même période, le Cert de la Banque de France a permis au projet TheHive de commencer à voler de ses propres ailes.

Quelques mois plus tard, ServiceNow annonçait s’associer à Palo Alto Networks et à Tanium pour étendre les capacités de collecte de données de sa plateforme et réaffirmer ses ambitions en matière de sécurité informatique, après le rachat de BrightPoint Security en juin 2016.

Une consolidation naissante

Plus récemment, Microsoft s’est offert Hexadite, un spécialiste de l’automatisation de la réponse à incident. Dans la foulée, c’est Rapid7 qui a racheté Komand.

Fondé en novembre 2015 par Jen Andre, ancienne de Mandiant, ce concurrent de Phantom Cyber, mais aussi Demisto, Swimlane ou encore CyberSponse, proposait un système de gestion de workflows dédié à la sécurité, extensible par le biais d’un kit de développement. Ce système permet de combiner interventions manuelles et automatisation de tâches. Au programme, par exemple : investigation sur les tentatives de hameçonnage, enrichissement de données liées à des alertes de sécurité, ou encore confinement d’identifiants compromis.

Suite à cette opération, Jen Andre a rejoint les équipes de Rapid7 au poste de directrice sénior en charge de l’orchestration et de l’automatisation.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close