Cette pression est, de plus, renforcée par le fait que le temps de séjour médian en matière d’attaques de ransomware est passé de quelques semaines à quelques jours seulement. Pourtant, de nombreuses organisations utilisent encore des outils SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation, and Response) hérités. Ces outils ont été conçus à une époque où les attaquants se déplaçaient lentement et où les défenseurs avaient plus de temps pour contre-attaquer. Cette époque est révolue. Le paysage des menaces actuel est plus rapide et plus agressif. Si votre équipe d’opérations de sécurité est submergée par les alertes et la complexité des outils ou bien ajuste constamment les règles de détection pour suivre le rythme, il est peut-être temps de repenser votre approche.
SIEM et SOAR : performants, mais nécessitant une attention constante
Selon les directives 2025 de la CISA (Cybersecurity and Infrastructure Security Agency), les plateformes SIEM et SOAR peuvent améliorer considérablement la visibilité et les capacités de réponse, mais uniquement lorsqu’elles sont correctement mises en œuvre et entretenues. Ces directives indiquent que ces outils nécessitent “un paramétrage et une surveillance continus pour garantir que les règles de détection restent efficaces et que les réponses automatisées ne génèrent pas de conséquences imprévues”1.
En bref, les outils SIEM et SOAR sont loin d’être des solutions prêtes à l’emploi. Elles nécessitent une maintenance, une intégration et une supervision concrètes pour rester efficaces au niveau du paysage des menaces actuel en évolution rapide. Sans ressources dédiées, vous passez à côté de l’essentiel ou bien vous consacrez votre temps à vous focaliser sur ce qui ne l’est pas. Et malgré le coût élevé des licences et de la maintenance, de nombreuses équipes ne reçoivent qu’une valeur ajoutée minimale ou bien n’obtiennent que des résultats mesurables limités au niveau de leur investissement.
Le SIEM Next-Gen et l’essor du XDR
Les plateformes SIEM Next-Gen visent à relever certains de ces défis en offrant une ingestion de données plus flexible, des analyses intégrées et une meilleure évolutivité. Mais elles nécessitent encore souvent la création manuelle de règles de détection, des playbooks de réponse et de nombreux efforts à déployer en matière d’intégration.
Les outils XDR (Extended Detection and Response) vont encore plus loin. Contrairement aux outils traditionnels qui s’appuient uniquement sur des alertes, les outils XDR analysent les données brutes pour découvrir les menaces cachées et réduire le bruit. Ils exploitent une gamme de techniques, allant des watchlists et des signatures à la détection avancée basée sur l’IA. Grâce à l’automatisation intégrée et aux capacités SOAR pré-intégrées, les outils XDR éliminent le besoin de créer des règles personnalisées ou de repartir de zéro. La plupart des organisations ne disposent pas d’une équipe de sécurité. Donc s’attendre à ce qu’elles gèrent et optimisent un système comme celui-ci n’est pas uniquement un défi de taille…c’est tout simplement une mission absolument irréaliste. Les outils XDR offrent un TCO (Total Cost of Ownership) convaincant par rapport à la valeur qu’ils offrent en matière de protection contre la cybercriminalité.
Pourquoi le MDR associé au XDR offre de meilleurs résultats ?
Le MDR (Managed Detection and Response) ajoute le paramètre humain. Piloté par des analystes experts, le MDR offre une surveillance 24h/24 et 7j/7, une chasse aux menaces et une réponse aux incidents. Lorsque le MDR est construit sur une plateforme XDR spécialement conçue avec des capacités SIEM Next-Gen, la combinaison qui en résulte est vraiment puissante :
- Protection permanente sans le besoin d’un paramétrage en continu.
- Réponse plus rapide et plus précise aux menaces réelles.
- Des résultats sans les frais liés à la gestion d’un SOC complexe.
Gardez une longueur d’avance sur les ransomwares grâce à une sécurité efficace
Les organisations ont besoin d’une plateforme d’opérations de sécurité qui fonctionne réellement maintenant que les ransomwares frappent plus rapidement et que le temps de séjour est réduit à quelques heures seulement, et non à quelques semaines. Les directives de la CISA sont claires : les outils SIEM et SOAR peuvent être efficaces, mais leur maintenance nécessite des efforts considérables, compte tenu notamment de la rapidité avec laquelle évolue le déploiement des ransomwares1. Si vos outils actuels vous ralentissent ou produisent plus de bruit que d’informations exploitables, il est peut-être temps de passer à une solution plus moderne.
Les outils XDR associé au MDR offre une approche évolutive, efficace et axée sur les résultats en matière d’opérations de sécurité. Cette approche vous aide à rester concentré sur la gestion de votre entreprise, sans avoir à vous demander si vos défenses fonctionnent.
Pour en savoir plus sur la manière avec laquelle Sophos transforme le monde des opérations de sécurité avec Taegis XDR issu de l’acquisition de Secureworks, visitez la page dédiée au XDR (Extended Detection and Response) avec un SIEM Next-Gen.
1Guidance for SIEM and SOAR Implementation | CISA
Billet inspiré de Is your SIEM still serving You? Why it might be time to rethink your security stack, sur le Blog Sophos.
