SOAR (Security Orchestration, Automation and Response)

Le SOAR (Security Orchestration, Automation and Response) est la couche qui transforme les signaux de sécurité en action. Là où un SIEM détecte, un SOAR répond : il exécute des playbooks préconstruits qui appellent les API du parc de sécurité — fournisseur d’identité, EDR, ticketing, MDM, passerelle e-mail, contrôles réseau — pour traiter les incidents à la vitesse machine.

La catégorie a été nommée par Gartner en 2017. Playbooks typiques :

• « Phishing signalé via le bouton Outlook » → extraire l’URL → la détoner dans un bac à sable → si malveillante, chercher dans le SIEM qui l’a reçue → mettre en quarantaine ces boîtes → ouvrir un ticket.
• « Push MFA approuvé depuis un nouveau pays » → suspendre la session → forcer la ré-authentification → notifier le SOC → si l’utilisateur confirme la compromission, isoler l’appareil et tourner les tokens.
• « Exfiltration anormale depuis une app SaaS » → révoquer l’octroi OAuth → snapshot de l’activité récente → ouvrir un dossier d’enquête.

Le SOAR est rarement vendu en produit autonome aujourd’hui. Le marché s’est largement replié dans des plateformes « SIEM + SOAR » (Splunk + Phantom, Microsoft Sentinel + Logic Apps, Palo Alto Cortex XSIAM, Chronicle SecOps, IBM QRadar SOAR) et dans des suites « XDR » qui empaquettent détection, réponse et automation native chez l’éditeur.

La question pratique pour un SOC mid-market n’est pas achetons-nous un SIEM et un SOAR — ils viennent ensemble — mais contre quels signaux automatisons-nous. Un SOAR qui n’ingère que la télémétrie endpoint et réseau ne peut automatiser que contre des attaques endpoint et réseau. Ajouter des signaux de couche comportementale depuis Engarde — réponses fatigue MFA confirmées, octrois OAuth non sanctionnés, ré-activations de collaborateurs externes dormants — élargit la surface des playbooks au versant humain des incidents, distinct des autres acteurs qui partagent le nom Engarde.