Où en est l’automatisation des SOC?

Les centres d'opérations de sécurité (SOC) sont devenus une composante essentielle du dispositif de cybersécurité d'une organisation. Mais être en mesure de les exploiter en tirant parti de leur potentiel maximum se heurte à plus d’un obstacle. Le plus important étant le manque d'automatisation et d'orchestration (voire graphique ci-dessous), selon le dernier rapport sur les SOC publié par le SANS Institute. Suivent les besoins élevés en personnel et la pénurie de spécialistes. 

Multiples déclencheurs de réponse à un incident

Les équipes d’un SOC prennent conscience d'un éventuel risque ou incident de sécurité via différents moyens. Le plus fréquemment, il s'agit des alertes provenant des systèmes de sécurité des terminaux (EDR/XDR). Les outils SIEM, les signalements d'utilisateurs, les autres activités anormales et les renseignements de tiers sont également d'importants déclencheurs de réponse à un incident. 

Automatisation de la traque des nouvelles menaces

Les systèmes en place se doivent toutefois d’être complétés par des procédures de   traque des nouvelles menaces, en appliquant des indicateurs récemment découverts à des référentiels de données historiques. Les résultats de l'enquête indiquent que ces mesures sont la plupart du temps partiellement automatisées par les organisations, et même parfois totalement, aussi bien en employant des outils fournis par les éditeurs que développés à l’interne. Un peu plus d’un tiers des sondés indiquent que cette procédure est encore réalisée manuellement. 

A propos de l'étude: 
L'étude «SANS 2024 SOC Survey: Facing Top Challenges in Security Operations» a été menée auprès de 403 spécialistes et responsables actifs au sein d’un SOC, dont des analystes en sécurité IT, des CISO et des directeurs de SOC. 334 des répondants sont basés en Amérique du Nord. Les autres opèrent dans le monde entier, notamment en Suisse.