Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > SOAR (Security Orchestration, Automation, and Response) 🟢 Protection

SOAR (Security Orchestration, Automation, and Response) 🟢 Protection

SOAR (Security Orchestration, Automation, and Response), Orchestration, Automatisation et Réponse de sécurité en français, désigne une catégorie de plateformes et d’outils conçus pour améliorer la gestion des opérations de sécurité en cybersécurité.

  • Orchestration : intégration et coordination d’outils, systèmes et processus de sécurité hétérogènes (ex : SIEM, EDR, renseignement sur les menaces) pour centraliser leur fonctionnement.
  • Automation (automatisation) : exécution automatisée de tâches répétitives ou complexes (ex : analyse d’alertes, blocage d’adresses IP malveillantes) via des playbooks (scénarios prédéfinis).
  • Response (réponse) : gestion accélérée des incidents de sécurité, depuis leur détection jusqu’à leur résolution, en appliquant des procédures standardisées.

 

 

🎯 Objectifs d’un SOAR

Réduire le temps de réponse aux incidents, limiter les erreurs humaines, et faire face à la surcharge d’alertes grâce à une approche unifiée et automatisée.

  • Réduction du temps de réponse aux incidents.
  • Amélioration de l’efficacité des équipes de sécurité.
  • Réduction des coûts liés à la sécurité.
  • Meilleure visibilité sur les menaces et les incidents.
  • Amélioration de la conformité réglementaire.

 

Exemples d’usages d’un SOAR

  • Gestion des alertes de sécurité (Alert triage et Incident Qualification) un SOAR est excellent pour automatiser le tri et la qualification initiale des alertes de sécurité provenant de diverses sources (SIEM, IDS/IPS, etc.). Il peut enrichir les alertes avec des informations contextuelles supplémentaires, déterminer la gravité de l’alerte et décider s’il s’agit d’un véritable incident nécessitant une investigation plus approfondie.
  • Réponse aux incidents de sécurité (Incident Response Automation) : un SOAR permet d’automatiser tout ou partie du processus de réponse aux incidents, en exécutant des playbooks prédéfinis pour différentes typologies d’incidents (phishing, malware, DDoS, etc.). Cela peut inclure des actions comme l’isolement d’hôtes, le blocage d’adresses IP, la suppression de comptes utilisateurs compromis, l’envoi de notifications, etc.
  • Threat Hunting (chasse aux menaces) : un SOAR peut assister les équipes de threat hunting en automatisant la collecte et l’analyse de données, en enrichissant les données avec des informations de threat intelligence, et en permettant l’exécution de requêtes de hunting à travers différents systèmes.
  • Gestion des vulnérabilités (Vulnerability Management) : un SOAR peut être intégré avec des outils de gestion des vulnérabilités pour automatiser le processus de remédiation des vulnérabilités détectées. Cela peut inclure la création de tickets de remédiation, le suivi de la progression de la remédiation et la validation de la correction des vulnérabilités.
  • Threat Intelligence Platform (TIP) Augmentation : un SOAR peut consommer et agir sur les informations provenant de plateformes de threat intelligence (TIP) pour améliorer la détection et la réponse aux menaces, en automatisant la diffusion des indicateurs de compromission (IOC) dans les différents outils de sécurité.
  • Automatisation du reporting et des métriques de sécurité : un SOAR peut automatiser la génération de rapports de sécurité et de tableaux de bord pour fournir une vue d’ensemble de la posture de sécurité, des performances de l’équipe de sécurité et des tendances en matière d’incidents.

Outils associés

Palo Alto Cortex XSOAR, Splunk Phantom, IBM Resilient.

Complémentarité

souvent couplé à un SIEM (Security Information and Event Management) pour une détection et une réponse optimisées.

 

 

Différences SOAR vs SIEM

Il est important de distinguer SOAR de SIEM, bien que ces deux technologies soient souvent complémentaires.

  • SIEM (Security Information and Event Management) : le SIEM est une plateforme de gestion des informations et des événements de sécurité. Il collecte et analyse les logs et les événements de sécurité provenant de diverses sources au sein de l’infrastructure IT pour détecter les menaces de sécurité. Le SIEM se concentre principalement sur la détection et l’alerte.
  • SOAR (Security Orchestration, Automation and Response) : le SOAR va au-delà de la simple détection et alerte. Il prend les alertes du SIEM (et d’autres outils) et orchestre et automatise la réponse à ces alertes. SOAR se concentre sur l’automatisation de la réponse et l’amélioration de l’efficacité opérationnelle de la sécurité.

En résumé :

  • SIEM : détecte et alerte.
  • SOAR : répond et automatise.
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité