Catégorie outil
SOAR : Security Orchestration, Automation and Response
Une plateforme SOAR permet à une organisation de collecter des données sur les cybermenaces et de répondre aux événements de sécurité avec peu ou pas d'intervention humaine. Le terme « SOAR », introduit par Gartner en 2015, désigne une solution consolidant les fonctions des plateformes de réponse aux incidents, des outils d'orchestration et d'automatisation, et des plateformes de threat intelligence.
Fonctionnement et composantes
Les plateformes SOAR reposent sur trois capacités interconnectées qui améliorent l'efficacité opérationnelle : l'orchestration connecte les outils de sécurité disparates dans des workflows unifiés, permettant de déclencher des actions sur les firewalls, les plateformes EDR, les systèmes d'identité et les outils de ticketing depuis un seul workflow. L'automatisation traite l'énorme volume d'informations généré via l'orchestration en l'analysant par machine learning, et gère de nombreuses tâches manuelles comme l'analyse de logs ou la vérification de vulnérabilités. La réponse aux incidents permet aux équipes de sécurité de réagir lorsqu'une menace est indiquée, et gère les activités post-incident comme le partage automatisé de renseignements sur les menaces.
Le SOAR permet aux administrateurs de sécurité de définir les incidents potentiels et les réponses grâce à des playbooks et des runbooks ; un playbook décrit comment vérifier un incident de cybersécurité et comment y répondre. L'objectif principal est de réduire drastiquement le MTTR (mean time to respond) et le MTTR (mean time to remediate), tout en soulageant les équipes SOC du traitement manuel de milliers d'alertes quotidiennes.
Lien avec NIS2
Le SOAR contribue à mieux répondre aux contraintes réglementaires comme NIS2, notamment en matière de traçabilité et d'audit. NIS2 impose de déployer des outils SIEM/SOAR performants pour la détection en temps réel, afin de respecter le délai de 24 heures pour la notification d'incident. Le SOAR complète le SIEM (détection) et l'EDR (protection des terminaux) en pilotant la réponse transverse et en assurant la traçabilité des actions, un point essentiel pour la conformité réglementaire.
Concrètement, un SOAR automatise la collecte des preuves, la qualification de l'incident selon une grille de criticité, et peut pré-remplir les templates de notification pour l'ANSSI. Il permet de documenter l'ensemble du cycle de vie de l'incident, du premier signal à la remédiation, facilitant les obligations de reporting imposées par l'Article 21 §2 de NIS2 sur la gestion des incidents.
En savoir plus : Mesures de gestion des risques cybernétiques • Déclaration d'incidents