adam121 - Fotolia
SOC : Azure Sentinel et Chronicle Backstory devraient tirer les analystes vers le haut
Chronicle et Microsoft ont récemment fait une entrée remarquée dans le domaine des systèmes de gestion des informations et des événements de sécurité. Laurent Besset, chez I-Tracing, et Vincent Nguyen, chez Wavestone, partagent leurs analyses.
Coup sur coup, comme si l’un répondait à l’autre, Microsoft et Chronicle ont annoncé récemment des offres de système de gestion des informations et des événements de sécurité (SIEM), le premier avec Azure Sentinel, et le second avec Backstory.
Responsable du Cert de Wavestone, Vincent Nguyen, ne peut s’empêcher de souligner ce hasard du calendrier qui marque, selon lui, l’importance croissance des technologies d’intelligence artificielle, et en particulier de l’apprentissage automatique dans la détection : « la surveillance enrichie devient incontournable ». Laurent Besset, directeur Cyberdéfense chez I-Tracing, ne voit pas les choses autrement car, pour lui, ces deux annonces traduisent une « évolution structurelle du marché », selon laquelle le SIEM traditionnel « devient une commodité. La valeur ajoutée est moins dans les outils et l’architecture que dans ce que l’on fait avec ».
Microsoft en position de force
Pour les deux experts, l’annonce de Microsoft s’inscrit dans le prolongement logique d’une suite d’efforts engagés au moins depuis 2015, avec le rachat d’Adallom et l’ouverture conséquente, début 2016, du service Cloud App Security. Windows Defender ATP n’a plus besoin de convaincre et l’éditeur s’offre même le luxe de proposer des services de détection d’incident.
Ce n’est pas une véritable surprise si Microsoft promet l’ingestion gratuite des journaux d’activité liés à Office 365 avec Sentinel : il se donne là les moyens de mettre en cohérence l’ensemble des briques de sécurité de ses services et produits, comme le relève Laurent Besset. Pour Vincent Nguyen, cette approche est d’ailleurs tout à fait susceptible de séduire les gros clients de l’éditeur… suivant la nature de leurs environnements. Car se posera la question des coûts liés à l’ingestion de logs externes. Le responsable du Cert de Wavestone souligne à cet égard que Sentinel doit s’appuyer sur Azure Monitor. La tarification de ce dernier peut donner un aperçu de ce à quoi il faudra s’attendre pour Sentinel.
De nombreuses questions en suspens
Laurent Besset s’interroge également sur les modèles tarifaires qui seront effectivement appliqués, tant par Chronicle que par Microsoft, relevant le risque de flux entrants importants. Mais pour lui, à long terme, le positionnement tarifaire pourrait bien s’avérer de plus en plus attractif compte tenu de la tendance de fond au niveau du cloud.
Et ce n’est pas tout. La promesse de l’ajout banalisé de l’apprentissage automatique dans la détection d’incidents pose la question des capacités de personnalisation. Vincent Nguyen relève que la question des coûts des SIEM, que ce soit leur modèle de facturation ou les capacités de stockage, encourageaient les entreprises à adopter une approche sélective dans le choix des journaux à intégrer, en partant de risques identifiés et de scénarios d’attaque afférents. Mais là, Backstory apparaît proposer de faire fi de cette approche pour maximiser les capacités de détection. Pour Vincent Nguyen, ce n’est pas une mauvaise chose, « mais il faut que l’on puisse mettre l’accent sur les uses cases à côté desquels on ne veut vraiment pas passer ».
Plus de place pour la remédiation
Le responsable du Cert de Wavestone s’interroge aussi sur les capacités d’intégration d’Azure Sentinel et de Chronicle Backstory avec des outils tiers, et en particulier ceux d’automatisation et d’orchestration (SOAR) – même si Microsoft prévoit d’en proposer lui-même avec Sentinel.
L’enjeu apparaît d’autant plus important que, pour les deux experts, ces annonces sont appelées, à terme, à pousser en faveur des fonctions de réponse à incident et de remédiation. Laurent Besset estime ainsi qu’avec « un besoin d’intervention humaine réduit pour la détection, l’accent va pouvoir être mis sur les activités de qualification, de contextualisation, de réponse et de remédiation ».
Le directeur Cyberdéfense d’I-Tracing juge ainsi que « les contrôles réalisés dans un SOC, honnêtement, la machine pourra à terme les automatiser ». L’avenir est donc « à l’analyste augmenté ». Vincent Nguyen apparaît s’inscrire sur la même ligne, estimant que les capacités d’analyse promises par ces SIEM en mode cloud sont vouées à « simplifier le travail des analystes et des équipes de réponse à incident ».