Nous utilisons à la fois un SIEM et un SOAR. Que fait chacun, et comment travaillent-ils ensemble ?
Réponse courte
Un SIEM ingère et corrèle les logs de tout le parc pour générer des alertes — c'est votre couche de détection et de recherche. Un SOAR se situe en aval et automatise la réponse : il exécute des playbooks, enrichit les alertes via des intégrations, et gère les cas pour que les analystes passent moins de temps sur les étapes répétitives.
SIEM et SOAR sont souvent mentionnés d'un même souffle car ils se côtoient dans le pipeline du SOC, mais ils résolvent des problèmes différents. Les confondre est une erreur fréquente de junior, donc les recruteurs posent cette question pour vérifier que vous comprenez où finit la détection et où commence la réponse.
SIEM : détection et visibilité
Une plateforme de Security Information and Event Management ingère les logs et la télémétrie de nombreuses sources — pare-feux, endpoints, fournisseurs d'identité, cloud, applications —, les normalise dans un schéma commun, et vous permet de rechercher et de corréler sur l'ensemble. Ses missions centrales sont l'agrégation, la corrélation, l'alerting et la rétention pour la conformité et l'investigation. Quand une règle correspond (par exemple, de nombreux logons échoués suivis d'un succès), le SIEM lève une alerte.
SOAR : orchestration et automatisation
Une plateforme de Security Orchestration, Automation and Response prend le relais là où le SIEM s'arrête. Elle se connecte à vos autres outils via des intégrations et exécute des playbooks — étapes de réponse codifiées et reproductibles. Un playbook peut automatiquement enrichir une alerte avec des recherches de threat-intel, géolocaliser une IP, interroger l'EDR pour les processus liés, ouvrir un cas, et même confiner un hôte, le tout sans qu'un analyste tape de commandes.
Comment ils travaillent ensemble
Le SIEM dit « quelque chose s'est passé » ; le SOAR vous aide à décider et à agir vite. Ensemble, ils réduisent le temps moyen de réponse en supprimant les étapes manuelles répétitives et en garantissant que chaque alerte est traitée de façon cohérente.
Pourquoi c'est important
Les recruteurs veulent entendre que détection et réponse sont des étapes distinctes. Le savoir montre que vous comprenez le workflow du SOC de bout en bout, et que l'automatisation augmente les analystes plutôt que de remplacer leur jugement sur les décisions à fort enjeu.
Questions de suivi probables
- Donnez un exemple de playbook SOAR que vous automatiseriez en premier.
- Quels types de décisions ne devraient jamais être entièrement automatisés ?
- Comment le SOAR aide-t-il sur le temps moyen de réponse (MTTR) ?