Demisto a commandé une étude afin de déterminer les défis spécifiques à chaque étape du cycle de vie de réponse en cas d’incident, comment les capacités actuelles des produits aident-elles à surmonter ces défis et quelles capacités manquent-elles dans les produits de sécurité actuels ?

Demisto est une plateforme d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR pour Security Orchestration, Automation, and Response), qui aide les équipes de sécurité à accélérer les interventions en cas d’incident, à normaliser et à adapter les processus et à tirer les leçons de chaque incident.

Les principaux cas d’utilisation des outils SOAR sont les opérations de sécurité et les interventions en cas d’incident. « La nature polyvalente de ces outils a toutefois conduit à de nouveaux cas d’utilisation dans l’orchestration de la sécurité dans le Cloud, la gestion des vulnérabilités, la chasse aux menaces, et plus encore », explique le rapport de Demisto.

La montée en puissance de SOAR

Environ 33 % des répondants ont utilisé SOAR pour automatiser la sécurité et gérer les incidents, environ 28 % ont utilisé SOAR pour la gestion de cas et les enquêtes sur les incidents respectivement, et près de 33 % ont utilisé SOAR pour la réponse et la mesure du rendement. « Les données suggèrent que les solutions SOAR continueront à s’intégrer dans la vie d’une équipe de sécurité ».

Les défis auxquels sont confrontées les équipes de sécurité sont une augmentation constante du volume d’alertes, un manque de compétences en matière de sécurité, des processus fragmentaires et des outils cloisonnés. Le rapport de 2019 élargit la perspective de l’orchestration de la sécurité, de l’automatisation et de l’intervention (SOAR) au cycle de vie des interventions en cas d’incident de sécurité.

Combiner les meilleurs produits de plusieurs fournisseurs

À mesure que l’usage de SOAR se répand dans les organisations, « nous avons constaté que leur volonté d’utiliser des playbooks d’automatisation s’est également accrue », explique le rapport. Environ 52 % des répondants ont indiqué qu’ils utilisaient soit des playbooks d’automatisation, soit une combinaison d’automatisation et manuelle pour mettre en œuvre des processus de réponse aux incidents. « Il s’agit d’un écart marqué par rapport au rapport 2018 sur l’état de l’art SOAR, dans lequel plus de 50 % des répondants ont déclaré qu’ils n’avaient pas mis en place de processus ou que ces processus étaient rarement mis à jour après leur mise en œuvre initiale ».

Environ 48 % des répondants ont cité l’utilisation de 6 outils de sécurité ou plus pour la réponse aux incidents. Plus de 68 % des répondants préfèrent combiner les meilleurs produits de différents fournisseurs plutôt que d’acheter les solutions d’un même fournisseur. Avec ces points à l’esprit, l’interopérabilité des produits entre les fournisseurs est cruciale pour une bonne expérience.

Sources : Demisto