NetApp et Cisco ont renforcé leur collaboration avec la création d’un nouveau livre de stratégie axé sur la sécurité pour Splunk SOAR, visant à accélérer la riposte face aux attaques de ransomware en agissant à un niveau souvent crucial : le stockage où résident les données d’entreprise.
Cette solution relie les signaux de sécurité collectés par Splunk avec des actions directes sur des environnements NetApp ONTAP, permettant ainsi aux équipes de contenir les menaces, de limiter la perte de données et de réduire le temps de réaction en cas d’incident potentiel. Cette annonce illustre une tendance claire en cybersécurité d’entreprise : la sauvegarde et le stockage ne doivent plus se limiter à un rôle passif, mais devenir des acteurs actifs de la défense et de la récupération.
Le stockage passe à la réponse automatique
Le nouveau manuel de stratégies NetApp Splunk Security Orchestration, Automation, and Response (SOAR) permet aux workflows de Splunk SOAR d’exécuter des actions sur les systèmes NetApp ONTAP lors d’interventions en cas d’incidents.
Parmi ces actions, on trouve le blocage d’un utilisateur suspect, la création d’instantanés de données ou la déconnexion de volumes pour empêcher la propagation d’une infection. Lors d’une attaque de ransomware, ces mesures peuvent faire la différence entre un incident maîtrisé et une propagation ayant un impact sur des applications critiques.
Splunk Enterprise Security était déjà intégré à NetApp Ransomware Resilience, permettant de recueillir des analyses à partir de la couche de données, d’améliorer la classification des incidents et d’aider à prioriser les alertes. Avec ce nouveau playbook, cette visibilité se traduit désormais en capacité d’action automatisée.
L’objectif est de réduire le délai entre détection et confinement. Lorsqu’un attaque progresse en quelques minutes, se reposer uniquement sur des processus manuels peut faire perdre beaucoup de contrôle face au dommage. L’automatisation n’élimine pas la supervision humaine, mais elle permet d’exécuter plus rapidement et de façon cohérente des réponses prédéfinies.
Ransomware, IA et délai de réaction réduit
NetApp et Cisco pionnent dans un contexte où les attaques deviennent de plus en plus rapides et sophistiquées, également alimentées par l’utilisation de l’intelligence artificielle par des acteurs malveillants. Dans ce contexte, les organisations doivent répondre avant que le chiffrement ou l’exfiltration de données n’atteigne des systèmes critiques.
Sandeep Singh, vice-président senior et directeur général des Plateformes chez NetApp, a souligné que le temps de réponse s’est considérablement réduit, et que les entreprises doivent agir dès la détection d’une menace. Son message implique un changement de paradigme : la sécurité doit couvrir également le stockage, car c’est là que résident les données que les attaquants cherchent à chiffrer, à voler ou à bloquer.
David Dalling, vice-président général de la sécurité Splunk chez Cisco, a insisté sur le fait que des stratégies efficaces nécessitent une visibilité et une action à tous les niveaux de la pile technologique, y compris la couche de données. Grâce à l’intégration entre Splunk SOAR et NetApp ONTAP, le stockage devient partie intégrante du circuit de réponse, et n’est plus une zone marginale pour les équipes de sécurité.
Ce principe influence également la coordination interne. Dans de nombreuses entreprises, les équipes sécurité et stockage utilisent des outils, priorités et langages différents. Un livre de stratégies commun peut contribuer à réduire cet écart et à faciliter des réponses plus coordonnées en cas d’incident.
Cybersécurité et résilience au-delà de la sauvegarde
Cette annonce s’inscrit dans une vision plus large de la cybersécurité, où protéger ses données ne se limite pas à faire des copies de sauvegarde. Il s’agit aussi de détecter des comportements anormaux, d’isoler les actifs compromis, de conserver des points de restauration, de restaurer rapidement et de garantir la continuité des activités.
L’automatisation des réponses permet d’améliorer des indicateurs comme le temps moyen de confinement (MTTC) et de réduire la charge manuelle sur les équipes. Cela est particulièrement crucial dans les grandes organisations, avec des environnements hybrides, multi-cloud, d’importants volumes de données, et une surface d’attaque difficile à maîtriser.
Pour NetApp, cette collaboration avec Cisco et Splunk confirme sa position de fournisseur d’infrastructures intelligentes. Pour Cisco, qui a finalisé l’acquisition de Splunk, c’est aussi une manière d’étendre l’étendue de ses propositions en sécurité et observabilité envers une composante stratégique de l’infrastructure d’entreprise.
Le playbook NetApp et Splunk SOAR est désormais disponible en téléchargement sur SplunkBase. La valeur de cette solution dépendra de la façon dont chaque organisation l’intégrera dans ses processus de réponse, ses politiques de stockage et ses plans de reprise. Il ne s’agit pas d’une solution isolée contre le ransomware, mais d’un élément efficace dans une stratégie de défense en couches.
Dans un contexte où les attaques cherchent à paralyser les opérations, la capacité à agir directement sur les données peut être aussi cruciale que la détection de la menace. La récupération commence bien avant la restauration d’une copie : elle débute dès qu’on parvient à empêcher l’aggravation du dommage.
Questions fréquentes
Que viennent d’annoncer NetApp et Cisco ?
Ils annoncent un playbook combinant NetApp et Splunk SOAR, permettant d’automatiser des actions de réponse face aux ransomware directement sur le stockage NetApp ONTAP.
Quelles actions le playbook peut-il exécuter ?
Il peut bloquer des utilisateurs suspects, créer des instantanés de données, ou déconnecter des volumes pour limiter la propagation d’une infection.
Pourquoi est-il crucial d’intervenir au niveau du stockage ?
Parce que c’est là que résident les données critiques. Si le stockage participe à la réponse, l’organisation peut contenir plus rapidement l’attaque et réduire le risque de perte ou de chiffrement massif des informations.