Bonnes résolutions 2025 : l’automatisation et l’orchestration

Dans un monde où les données ont de plus en plus de valeur, la capacité à répondre rapidement aux attaques est devenue un enjeu essentiel pour les entreprises. Mais comment armer les SOC face à des menaces en constante évolution ?

C’est la question centrale que nous avons abordée lors d’un webinaire organisé en partenariat avec le CEFCYS (CErcle des Femmes de la CYberSécurité), une association engagée dans la valorisation du rôle des femmes dans le domaine de la cybersécurité. À cette occasion, Adèle Restif et Lise Delage (toutes deux Senior Solutions Engineer chez Splunk) se sont entretenues avec Yosra Barbier (Secrétaire du CEFCYS et RSSI régionale chez Allianz Partner) afin de partager leurs conseils et bonnes pratiques en matière d’automatisation et d’orchestration.

Les réponses des entreprises leaders aux nouveaux défis des SOC

Pour commencer, parlons chiffres ! D’après le dernier rapport de Splunk sur l’État de la cybersécurité, plus d’une entreprise interrogée sur deux a subi une faille de données au cours de l’année passée. Alors, s’il y a une résolution que vous devez tenir cette année, c’est certainement celle de renforcer votre sécurité. En effet, notre étude montre que les entreprises leaders sont capables de détecter les menaces et d’y répondre bien plus rapidement que les autres, avec, par exemple, un MTTR moyen des charges de travail critiques de 44 heures (contre 5,7 jours pour les entreprises avec des programmes en cours de développement).

Comment font-elles pour afficher de tels résultats ? Une partie de la réponse se trouve sans doute dans leur capacité à mettre en place des outils d’automatisation et d’orchestration pertinents afin d’éviter à leurs équipes de crouler sous les alertes et les tâches manuelles rébarbatives. Car dans les environnements complexes d’aujourd’hui, les analystes peuvent mettre plus de 3 heures pour mener à bien une investigation nécessitant de jongler avec une multitude d’outils différents. Ajoutez à cela l’intensification des menaces, l’explosion du volume de données et les difficultés de recrutement et de formation, et vous comprendrez aisément pourquoi IDC a conclu que le manque d’automatisation constituait la plus grande source de difficultés des RSSI européens.

Les bonnes pratiques du SOC du futur

Pour faire face à ces défis, les entreprises doivent bâtir un programme de sécurité moderne autour d’une plateforme unifiée de type TDIR (Threat Detection, Investigation, Response) centralisant la détection, l’investigation et la réponse aux menaces de manière automatique, tout en s’appuyant sur des outils SIEM et SOAR déjà utilisés par le SOC. Une telle plateforme permet en effet de faciliter le travail des analystes, qui peuvent ainsi :

• traiter l’ensemble des données suivant des formats standardisés ;
• visualiser les résultats des playbooks directement sur l’interface de détection ;
• déclencher automatiquement des playbooks génériques ou spécifiques ;
• et surtout se concentrer sur des activités à plus forte valeur ajoutée.

Mais attention, l’automatisation et la centralisation ne font pas tout ! Encore faut-il les utiliser à bon escient. Adèle Restif profite donc de ce webinaire pour souligner les étapes clés d’une automatisation efficace ainsi que les bonnes pratiques pour déployer un SOC plus résilient, mettant à profit l’ensemble des données et des technologies dont il dispose.

Les éclairages d’une experte sur l’automatisation et l’orchestration

Et ce n’est pas Yosra Barbier qui nous contredira. Cette experte en cybersécurité, autrice d’une thèse sur la corrélation des alertes, estime en effet que l’unification de l’interface sur une même plateforme automatisée est devenue une nécessité face à la multiplication des outils et à l’augmentation exponentielle de données qui ne peuvent plus être gérées manuellement. Mais pour que cette stratégie se montre efficace, il faut également que les analystes maîtrisent l’ensemble du système d’information monitoré et qu’ils soient en mesure d’évaluer avec justesse l’impact de leurs actions sur les autres composantes de l’entreprise, une vision globale qui doit notamment être relayée par le RSSI.

Face aux interrogations de Lise Delage et Adèle Restif, la RSSI régionale d’Allianz Partner expose aussi les atouts de l’approche hybride et revient en détail sur les prérequis et les étapes essentielles d’un processus de remédiation performant. Elle insiste également sur le rôle central du RSSI dans la prévention de l’épuisement des équipes SOC, confrontées à une intensification constante des menaces. Enfin, impossible d’ignorer les nouvelles perspectives et les défis inédits qui se profilent avec l’intégration de l’IA générative dans les processus de sécurité.

Vous voulez connaître tous les conseils de Splunk et du CEFCYS pour optimiser l’automatisation et l’orchestration au sein de votre entreprise ? Visionnez l’intégralité du webinaire !