Face à l’industrialisation des menaces, la visibilité devient le socle de la cybersécurité.
Mais mal maîtrisées, les plateformes SIEM/SOAR peuvent générer des angles morts critiques.
Pourquoi SIEM et SOAR sont devenus incontournables
Les plateformes SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation and Response) structurent aujourd’hui les stratégies de journalisation et de réponse à incident dans les organisations à haut niveau d’exposition. Leur valeur repose sur trois piliers :
- Centralisation des événements dans un réseau hétérogène (endpoints, systèmes, applications, services cloud)
- Détection corrélée d’activités anormales à partir de règles et de flux de cyber threat intelligence
- Automatisation des réponses par l’exécution de playbooks prédéfinis pour réduire le délai moyen de remédiation
Lorsqu’ils sont correctement déployés, ces outils permettent de détecter des activités persistantes (comme les techniques de living off the land) et de garantir la traçabilité indispensable à toute investigation post-mortem.
Mécanismes de fonctionnement des plateformes
Un SIEM collecte, centralise et analyse les journaux issus de multiples sources. Il applique des règles et filtres pour détecter des anomalies, puis génère des alertes. Certains outils intègrent des flux de cyber threat intelligence externes afin de renforcer la pertinence des corrélations.
Un SOAR, quant à lui, vient compléter le SIEM en orchestrant et en automatisant les réponses. À travers des playbooks, il peut par exemple isoler automatiquement un hôte compromis ou déclencher une action de blocage réseau, sans intervention humaine immédiate.
Certains SOAR embarquent leurs propres capacités de collecte et d’analyse, d’autres s’appuient sur un SIEM existant. Dans les deux cas, ces plateformes ne remplacent pas les analystes humains, mais augmentent leur réactivité et libèrent du temps pour les tâches à forte valeur ajoutée.
Les deux grands défis techniques de l’implémentation
1. L’exactitude des alertes SIEM La configuration des règles de détection doit éviter deux écueils majeurs : le bruit excessif (faux positifs) et l’absence de signal (faux négatifs). Cela nécessite :
- une sélection rigoureuse des sources et types de logs pertinents
- un modèle de menace contextualisé
- une calibration continue des règles
2. La pertinence des actions automatisées du SOAR Le SOAR ne doit pas déclencher d’actions sur des événements bénins ni interférer avec les investigations humaines. Pour cela, les playbooks doivent être conçus avec précaution et testés dans des environnements représentatifs. Toute action automatisée doit rester traçable, réversible, et fondée sur des critères solides.
Coûts cachés et contraintes organisationnelles
L’implémentation d’un SIEM/SOAR exige des compétences rares et un effort de long terme. Les organisations doivent anticiper :
- les coûts de licences et de traitement des volumes de logs (modèles souvent indexés sur la quantité ingérée)
- le recrutement et la rétention de profils qualifiés, ou le recours à des prestataires de confiance
- la formation continue des équipes internes pour suivre l’évolution des outils et des TTP adverses
- la gestion de la relation contractuelle, si l’exploitation est partiellement ou totalement externalisée
En parallèle, la mauvaise configuration ou la négligence d’entretien de ces plateformes peut générer de faux rapports de conformité et laisser passer des attaques silencieuses.
Bonnes pratiques pour un déploiement maîtrisé
Voici les recommandations clés issues du guide :
- Implémenter en interne si l’organisation traite des données sensibles ou critiques : connaissance métier, capacité d’escalade et maîtrise des priorités sont des facteurs décisifs.
- Définir précisément les objectifs d’ingestion : ne pas tout logger, mais logguer intelligemment.
- Former continuellement les analystes : les règles et corrélations doivent suivre l’évolution des menaces.
- Commencer par un SIEM mature avant d’envisager un SOAR.
- Mettre en place un programme de test continu des règles, alertes et réponses automatisées (red teaming, simulation d’attaque, pentest).
Réaligner la détection sur la réalité opérationnelle
L’erreur serait de considérer SIEM et SOAR comme des boîtes noires autonomes. Ces plateformes doivent rester intégrées à une approche dynamique, contextuelle et pilotée. Face à la diversification des techniques adverses et à l’obsolescence rapide des règles statiques, seule une gouvernance technique rigoureuse, alliée à une vision CTI évolutive, permet de tirer parti du plein potentiel de ces outils.
Les logs ne protègent pas en soi. Ce sont les corrélations pertinentes et les réponses calibrées qui font la différence.
En espérant que cette article vous aura éclairé sur ce sujet
Enjoy !
Sources :
- https://www.cisa.gov/resources-tools/resources/guidance-siem-and-soar-implementation
- https://www.nsa.gov/Press-Room/News-Highlights/Article-View/Article/3392341/Identifying-and-Mitigating-Living-Off-the-Land-Techniques/
- https://www.cyber.gov.au/resources-business-and-government/
- https://www.cisa.gov/cybersecurity-performance-goals
