SOAR : Gartner pointe les difficultés

Antonin Hily, directeur technique chez Sogeti, Gérôme Billois, responsable de la practice sécurité de Wavestone, ou encore les RSSI Loïs Samain et Bertrand Méens, apparaissaient tous d’accord, mi-septembre, sur l’utilité et la nécessité de l’automatisation dans les centres opérationnels de sécurité (SOC), la fameuse SOAR.

Les raisons de cet intérêt sont multiples, et commencent avec la question des compétences. Fin mai, plus des deux tiers des répondants à une étude de Trend Micro indiquaient estimer que l’automatisation permettrait de composer la pénurie de compétences en sécurité informatique. Et pour cause, si l’on en croit une enquête ultérieure de Sophos, 79 % des sondés estiment difficile de recruter les personnes disposant des compétences en sécurité dont ils ont besoin.

Mais il faut également compter avec la fameuse « fatigue » du SOC. Dans l’édition 2019 de l’étude d’Exabeam sur l’état des SOC, elle est mentionnée, parmi les points de stress, par 27 % des équipes travaillant dans ces organisations, en seconde position derrière le travail de reporting et de documentation, et tout juste devant la gestion des faux positifs.

Une étude de l’Institut Ponemon pour Devo produit un constat encore plus sombre : « 70 % des répondants indiquent que travailler dans le SOC est très difficile ». La première raison en est la charge de travail croissante, « qui provoque un burnout ». Viennent ensuite le manque de visibilité sur l’infrastructure, l’impératif de vigilance constante, le volume d’alertes à traiter, et encore une fois la difficulté à recruter et conserver les bons profils. En fait, pour les auteurs, « le stress lié au travail en SOC rend difficile le recrutement et le maintien en poste de praticiens expérimentés de la sécurité IT ».

Selon une troisième étude, cette fois-ci produite par Critial Start, le nombre d’alertes apparaît loin de baisser : « 70 % des répondants enquêtent sur plus de 10 alertes de sécurité par jour, une hausse considérable par rapport à l’an dernier » où ce n’était le cas que pour 45 % des sondés. Pire encore, si 64 % des répondants estimaient, il y a un an, à plus de 10 minutes le temps moyen requis pour enquêter sur un incident, cette proportion s’élève cette année à 78 %.

Alors sur le terrain, le recours à l’automatisation progresse, mais reste limité. Selon un sondage Demisto publié durant l’été, 52 % des répondants utilisent soit des playbooks automatisés, soit une combinaison de playbooks manuels et automatisés pour leurs processus de réponse aux incidents. Selon l’édition 2019 de l’étude d’Exabeam sur l’état des SOC, 48 % des analystes de premier niveau utilisent l’automatisation, contre 28 % il y a un an. Et pour l’institut Ponemon, l’automatisation des workflows est la première piste pour améliorer les conditions de travail en SOC. Alors pour Gartner, d’ici à la fin 2022, près d’un tiers des organisations dotées d’une équipe de sécurité de plus de cinq personnes auront mis en œuvre des outils de SOAR dans leur environnement.

Selon le cabinet, l’adoption de ces outils d’automatisation ne concernerait encore aujourd’hui que moins de 5 % des organisations de ce type. Et le succès ne semble pas toujours au rendez-vous. Ainsi, le cabinet relève que « les cas d’usage implémentés par les premiers utilisateurs n’ont pas évolué au cours des 12 derniers mois et restent figés, limitant le potentiel à long terme de la SOAR dans les opérations de sécurité ».

L’un des freins à l’extension des cas d’usage est à chercher du côté de la complexité des outils et de leur adhérence aux processus des SOC – sans compter la question de leur formalisation et documentation – : « les solutions de SOAR ne sont pas ‘plug-and-play’. Même si elles intègrent une bibliothèque de cas d’usage et d’intégrations clés en main, les acheteurs font état de semaines de recours à des services professionnels pour la mise en œuvre de leurs cas d’usage de départ ». Sans surprise, Gartner recommande donc de ne pas se lancer la fleur au fusil, mais bien préparé, avec un « jeu de processus et de workflows bien définis qui peuvent être implémentés ».

Dans ce contexte, les prestataires de services de sécurité managés (MSSP) sont peut-être les mieux armés pour adopter rapidement l’automatisation. De fait, Gartner estime que, d’ici à trois ans, « la plupart des MSSP auront adopté et intégré des capacités de SOAR ».

Mais le cabinet relève également le dynamisme d’un marché marqué de multiples acquisitions au cours des trois dernières années. On se souvient ainsi des rachats de Resilient Systems par IBM, d’Invotas par FireEye, d’Hexadite par Microsoft, de Phantom par Splunk, de Komand par Rapid7, ou enfin de Demisto par Palo Alto Networks. Alors, sans trop de surprise, Gartner recommande de prévoir un plan B en cas de rachat de l’outil de SOAR déployé par un tiers.