SOAR (Security Orchestration, Automation and Response)

Le SOAR (Security Orchestration, Automation and Response) est une catégorie d'outils introduite par Gartner en 2017 qui combine trois capacités : (1) orchestration — connecter les outils de sécurité disparates (SIEM, EDR, firewall, IdP, ticketing, threat intel) via APIs/connectors ; (2) automation — exécuter automatiquement des actions de réponse via playbooks (workflows visuels low-code) ; (3) case management — centraliser la gestion d'incidents (collaboration analystes, timeline, evidence collection, reporting).

Objectif principal : réduire le MTTR (Mean Time To Respond) et la fatigue des analystes SOC. Au lieu qu'un analyste exécute manuellement 20 actions pour répondre à un phishing (enrichir l'URL via VirusTotal, vérifier qui a cliqué via proxy logs, reset les credentials, supprimer l'email des autres mailbox, ajouter l'URL en blacklist firewall), un playbook SOAR le fait en secondes.

Leaders : Splunk SOAR (ex-Phantom), Palo Alto Cortex XSOAR (ex-Demisto), IBM QRadar SOAR (ex-Resilient), ServiceNow SecOps, Microsoft Sentinel (playbooks Logic Apps), Google Chronicle SOAR (ex-Siemplify), Tines, Torq, Swimlane, Rapid7 InsightConnect, FortiSOAR.

Use cases populaires : (1) phishing response (analysis URL/attachment + user reset + email recall) ; (2) malware containment (host isolation EDR + IoC enrichment + ticket creation) ; (3) failed login response (account lockdown + MFA reset + user notification) ; (4) vulnerability triage (CVE enrichment + asset inventory + ticketing) ; (5) threat intel ingestion (auto-blocking malicious IPs/domains).

Metrics améliorées : MTTR (typiquement -50 à -80%), nombre d'incidents traités par analyste (x3-5), alert closure rate. ROI typique 6-12 mois pour un SOC mature.

Différence SIEM vs SOAR : SIEM = détection (logs, corrélation, alertes). SOAR = réponse (orchestration, automation). Modernement, les plateformes convergent (SIEM intègre SOAR : Sentinel, Chronicle). XDR intègre nativement SOAR.