Les cas d'utilisation SOAR génériques résistent rarement à la pratique ; la bonne automatisation dépend entièrement de votre environnement, du volume d'alertes et de la structure de votre SOC. Les cas d'utilisation ci-dessous sont adaptés à des scénarios spécifiques et incluent des décompositions de flux de travail étape par étape.
Les flux de travail ci-dessous reflètent le modèle SOAR traditionnel ; les plateformes agentiques exécutent bon nombre de ces mêmes cas sans étapes prédéfinies.
1. Détection de phishing et réponse
Les analystes sont confrontés à des goulets d'étranglement lors du traitement manuel des alertes de phishing, en raison de volumes élevés de faux positifs et d'actions de triage répétitives. L'ampleur du problème a considérablement augmenté. Le contenu de phishing généré par l'IA apparaît désormais dans 82,6 % des e-mails de phishing détectés, soit une augmentation de 53,5 % en glissement annuel. 1
Les e-mails de phishing générés par l'IA obtiennent un taux de clics 60 % plus élevé que les e-mails de phishing traditionnels, et le temps nécessaire pour créer une campagne convaincante est passé de 16 heures à environ cinq minutes.2 À ce volume et à ce niveau de sophistication, le triage automatisé n'est plus une amélioration de la productivité, c'est un prérequis.
Comment SOAR aide :
- Phase de triage : SOAR reçoit les alertes de phishing et les trie automatiquement par gravité, source et niveau de risque.
- Extraction et validation des indicateurs : Les indicateurs clés (URLs, adresses IP, hachages de fichiers) sont extraits de l'artefact de phishing.
- Malveillant ou non : Si une activité malveillante est détectée, le playbook déclenche une réponse : blocage de l'expéditeur, isolation des terminaux ou suppression de l'e-mail malveillant. Si aucun indicateur clair n'est trouvé, le système valide davantage l'alerte pour exclure les faux positifs.
- Analyse des faux positifs : Le fichier suspect est exécuté dans un bac à sable pour analyser son comportement. Le domaine de l'expéditeur est vérifié pour sa similarité avec des domaines de confiance (détection d'homoglyphes).
Exemple concret : Le SOAR agentique Charlotte de CrowdStrike gère désormais les enquêtes de phishing en temps réel sans playbooks prédéfinis, revendiquant une précision de décision de 98 % sur les alertes investiguées.3 L'équipe de cybersécurité de Zensar utilise SOAR pour le triage du phishing et la réponse aux incidents via des playbooks sans code avec plus de 200 intégrations et du renseignement sur les menaces par e-mail.
La différence agentique ici : Le SOAR traditionnel compare les indicateurs de phishing à des règles prédéfinies. Les plateformes agentiques raisonnent à travers le contexte de l'e-mail, l'historique de l'expéditeur et les signaux comportementaux, ce qui est particulièrement important pour le phishing généré par l'IA qui n'a pas d'indicateurs antérieurs à comparer.
Les outils SOAR dépendent de données précises sur les terminaux et d'un contrôle actionnable des appareils. Découvrez comment les logiciels de gestion des terminaux renforcent la réponse de sécurité automatisée.
2. Détection et réponse sur les terminaux (EDR)
Les outils EDR détectent les activités suspectes sur les terminaux mais génèrent des volumes d'alertes élevés, dont beaucoup sont des faux positifs. Le triage manuel des alertes EDR à grande échelle consomme du temps d'analyste qui devrait être consacré à l'investigation des menaces confirmées.
Comment SOAR aide :
- Ingestion des données des terminaux : SOAR extrait les données en temps réel des outils EDR (agents antivirus, plateformes EDR) pour surveiller l'activité des terminaux.
- Vérification SIEM : Vérifie si les fichiers ou les hachages ont déjà été identifiés dans le SIEM.
- Notification aux analystes : Si une menace potentielle est détectée, SOAR alerte les analystes avec le contexte complet et le score de gravité.
- Réponse automatisée et nettoyage des terminaux : Si confirmé comme faux positif, SOAR clôture automatiquement l'incident. Si confirmé comme une menace, SOAR isole le terminal et supprime les fichiers suspects.
Le flux de travail se termine généralement en quelques minutes plutôt qu'en heures nécessaires pour un triage manuel. Pour les organisations gérant des milliers de terminaux, la différence opérationnelle est significative : le triage EDR manuel à grande échelle nécessite un nombre d'analystes que la plupart des SOC ne peuvent pas maintenir.
Où cela échoue : Les playbooks SOAR statiques gèrent bien les modèles d'alertes EDR connus. Les nouveaux logiciels malveillants ou les techniques de déplacement latéral qui ne correspondent pas aux règles existantes nécessitent soit un examen par un analyste, soit une plateforme agentique capable de raisonner face à un comportement inconnu.
3. Détection des connexions utilisateur suspectes à partir d'adresses IP
Les connexions suspectes sont difficiles à détecter à grande échelle car le comportement des utilisateurs est variable, les organisations couvrent plusieurs environnements cloud et la surveillance manuelle est trop lente pour agir avant que l'accès ne soit établi.
Comment SOAR aide :
- Ingestion des anomalies comportementales : SOAR collecte les données de connexion des SIEM ou des systèmes d'authentification et signale les activités inhabituelles (déplacement impossible, heures d'accès atypiques, nouveaux appareils).
- Enrichir les informations utilisateur : SOAR récupère l'historique de connexion, le rôle et les autorisations pour évaluer si le comportement est cohérent avec le modèle normal de l'utilisateur.
- Enrichir le renseignement IP : SOAR croise les adresses IP avec les bases de données de renseignements sur les menaces pour identifier les sources malveillantes connues, les nœuds de sortie Tor ou les points de terminaison VPN.
- Déterminer le statut de la menace : Sur la base du contexte du comportement de l'utilisateur et des données IP, SOAR détermine si la connexion est probablement malveillante.
Réponse automatisée :
- Aucune menace : SOAR clôture automatiquement l'incident
- Menace détectée : SOAR bloque l'IP et verrouille le compte, déclenchant une demande MFA ou une réinitialisation forcée du mot de passe
L'étape d'enrichissement est celle où SOAR ajoute le plus de valeur. Sans elle, un analyste évaluant une connexion à partir d'une IP inconnue n'a aucun moyen rapide de savoir si l'IP est signalée, si l'utilisateur a récemment voyagé ou ce que les autorisations d'accès de l'utilisateur permettraient en cas de compromission. SOAR fait apparaître tout ce contexte en quelques secondes.
Vidéo : Enquête sur les adresses IP avec SOAR
Source : Palo Alto Networks4
4. Réponse aux menaces zero-day
Les attaques zero-day exploitent des failles de sécurité jusqu'alors inconnues avant qu'un correctif ne soit disponible. Les outils antivirus ne les détectent pas car les signatures n'existent pas. C'est également là que les playbooks SOAR statiques atteignent leur limite la plus difficile : aucune règle prédéfinie ne peut anticiper une exploitation inconnue. La reconnaissance alimentée par l'IA permet désormais aux attaquants d'identifier les vulnérabilités non corrigées en quelques heures plutôt qu'en semaines,5 ce qui réduit la fenêtre entre la disponibilité de l'exploit et les attaques actives.
Comment SOAR aide :
Collecter les IOCs et les fichiers : Extraire les hachages de fichiers, les URL malveillantes et les adresses IP de l'alerte.
Extraire et vérifier les indicateurs :
- Rechercher dans les journaux des terminaux les hachages malveillants : Analyser les journaux EDR pour trouver des preuves d'exécution ou de téléchargement des hachages identifiés.
- Interroger les journaux du pare-feu pour les hôtes compromis : Rechercher du trafic vers ou depuis des IP malveillantes connues ou des mouvements latéraux suspects.
- Lier aux incidents précédents : Croiser les enregistrements existants pour identifier des TTPs similaires lors d'événements passés.
- Block les terminaux infectés : Déployer des règles de blocage sur les pare-feux, les passerelles web et les filtres de messagerie.
- Fermer le playbook : Renvoyer les règles ou les IOCs mis à jour à la plateforme EDR.
L'IA agentique comble directement le fossé des zero-day. Plutôt que de comparer les indicateurs à des règles prédéfinies, elle raisonne à travers des comportements nouveaux, ce qui la rend plus adaptée aux types de menaces qui n'ont jamais été observés dans l'environnement auparavant.6
5. Gestion des vulnérabilités
Les tests de vulnérabilité manuels sont chronophages, produisent des faux positifs et manquent souvent de visibilité sur les actifs non gérés. Les équipes de sécurité peinent à prioriser les bonnes vulnérabilités lorsque les flux CVE arrivent avec des centaines d'entrées qui revendiquent toutes une gravité élevée.
Comment SOAR aide la gestion des vulnérabilités :
- Collecte des données de vulnérabilité : SOAR extrait les données de vulnérabilité des outils externes et des bases de données CVE.
- Enrichir : SOAR ajoute des détails sur les terminaux affectés, la criticité des actifs et les unités commerciales affectées.
- Ajouter un contexte de vulnérabilité : SOAR ajoute l'historique d'exploitation et le contexte des menaces actives connues aux données de l'incident.
- Calculer les risques : SOAR combine la gravité CVE avec le contexte système pour calculer le risque global de chaque vulnérabilité.
Correction :
- Éléments à haut risque : examen par un analyste et coordination manuelle des correctifs
- Résultats connus à faible risque : correction automatisée lorsque cela est possible (déploiement de correctifs via la gestion des terminaux, modification de configuration via API)
L'étape d'enrichissement est ce qui distingue la gestion utile des vulnérabilités du bruit. Une vulnérabilité CVSS 9.8 sur un serveur de développement isolé est moins urgente qu'une CVSS 7.0 sur un système d'authentification exposé à Internet. SOAR peut faire apparaître cette distinction automatiquement plutôt que de laisser le jugement de l'analyste sur chaque entrée.
6. Automatisation du provisionnement de nouveaux comptes
Le provisionnement manuel des utilisateurs est sujet aux erreurs. Les erreurs dans les attributions d'accès entraînent un sur-provisionnement (violation du principe du moindre privilège) ou un sous-provisionnement (bloquant le nouvel employé dans son travail).
Comment SOAR aide :
- Obtenir les détails du ticket : Récupère la demande de provisionnement depuis la plateforme ITSM.
- Créer un utilisateur dans le service d'annuaire : Se connecte à Active Directory ou équivalent.
- Ajouter l'utilisateur aux outils requis par rôle : Attribue l'accès aux e-mails, aux plateformes RH et à d'autres outils spécifiques au rôle. Envoyer un e-mail d'intégration : Envoie les identifiants de connexion et les instructions de configuration.
- Déployer les logiciels requis sur le terminal : Lance le déploiement des logiciels via les outils de gestion des terminaux.
- Notifier les parties prenantes : Alerte les RH, l'IT et les managers lorsque l'intégration est terminée.
7. Gestion des cas tout au long du cycle de vie des incidents
Problème : La continuité se rompt tout au long du cycle de vie des incidents parce que les produits de sécurité sont cloisonnés, les processus ne sont pas standardisés et les transferts entre équipes ralentissent le temps moyen de réponse.
Comment SOAR aide :
- Récupérer les alertes des sources de données : SOAR extrait en continu les alertes des SIEM, des pare-feux et d'autres sources.
- Déclencher le playbook : Dès réception d'une alerte, SOAR déclenche le playbook approprié pour ce type d'incident.
- Attribuer les incidents aux analystes : SOAR achemine les incidents enrichis avec le contexte joint.
- Extraire et vérifier les IOCs avec le renseignement sur les menaces : Les hachages de fichiers, les adresses IP et les domaines sont vérifiés automatiquement.
- Vérifier l'activité malveillante : SOAR détermine si l'activité est malveillante et prend des mesures en bloquant l'IP ou en isolant le fichier.
Mise à jour de l'intégration LLM : Un MSSP a documenté une augmentation de 60 % de la résolution automatisée des incidents de faible gravité après avoir intégré des grands modèles de langage dans leurs flux de travail SOAR. Les analystes interrogeaient la plateforme en langage naturel pour obtenir des résumés des menaces et ajustaient les playbooks en temps réel sans coder.7
8. Automatisation des demandes de modification de la politique de pare-feu
Problème : La gestion manuelle des demandes de modification de pare-feu est lente, incohérente et difficile à auditer. Les équipes traitent de gros volumes de demandes chaque semaine, des règles qui se chevauchent et une visibilité limitée sur les approbations.
Comment SOAR aide à automatiser les demandes de modification de la politique de pare-feu :
SOAR rationalise le processus de modification du pare-feu en automatisant les approbations, les validations et les déploiements de politiques via des playbooks intégrés.
- Une demande de modification de la politique de pare-feu : Initiée à partir d'une plateforme ITSM, par exemple, ServiceNow
- Déclencher le playbook SOAR
- Les rôles et adresses des terminaux existent-ils ?
- OUI : Ajouter l'adresse IP au groupe de terminaux existant
- SINON : Appeler le playbook « nouvelle politique » : SOAR exécute un playbook distinct pour créer une règle personnalisée.
- Appliquer la configuration à l'aide du système de gestion du pare-feu
- Fermer le ticket ITSM.
9. Suivi de l'expiration des certificats SSL
Problème : Les certificats expirés déclenchent des avertissements de sécurité dans le navigateur, réduisent la confiance des visiteurs et peuvent entraîner une perte de trafic. Le suivi manuel des certificats dans de grands environnements n'est pas fiable.
Comment SOAR aide :
- Vérifier le statut des certificats : SOAR surveille les certificats SSL sur tous les domaines et signale ceux qui approchent de l'expiration.
- Alerter et escalader : SOAR notifie l'équipe responsable avec un délai suffisant pour agir.
- Automatiser le renouvellement lorsque c'est possible : Pour les plateformes avec accès API, SOAR peut déclencher directement le flux de travail de renouvellement.
- Enregistrer et clôturer : SOAR enregistre l'action entreprise et clôture le ticket.
10. Gestion du renseignement sur les menaces
Problème : Les données de renseignement sur les menaces proviennent de multiples flux dans différents formats. L'ingestion, la déduplication et le croisement manuels avec les incidents actifs sont chronophages et incohérents.
Comment SOAR aide :
- Ingérer les flux de renseignement sur les menaces : SOAR extrait automatiquement les indicateurs (IP, domaines, hachages de fichiers, CVE) de sources multiples.
- Dédupliquer et normaliser : SOAR supprime les doublons et convertit les données dans un format cohérent.
- Corréler avec les incidents actifs : SOAR vérifie les renseignements entrants par rapport aux cas ouverts et aux alertes en direct.
- Enrichir les incidents : Les indicateurs pertinents sont automatiquement ajoutés aux tickets ouverts et aux files d'attente des analystes.
- Distribuer aux outils de blocage : Les IOCs de haute confiance sont poussés vers les pare-feux, les EDR et les filtres de messagerie.
Contexte sectoriel : le passage du SOAR au SOC agentique
Les 10 cas d'utilisation ci-dessus décrivent ce que fait le SOAR traditionnel. L'orientation du marché en 2026 mérite d'être comprise, car les nouveaux déploiements ne sont de plus en plus pas du SOAR traditionnel.
Ce qui change
Le SOAR traditionnel exige que les ingénieurs écrivent des playbooks pour chaque scénario que le système doit gérer. Les playbooks statiques couvrent environ 30 à 40 % des types d'alertes dans un déploiement d'entreprise typique. Les nouvelles techniques d'attaque, les campagnes en plusieurs étapes et les alertes qui ne correspondent pas aux modèles existants nécessitent toujours des analystes humains.8
Les plateformes SOAR agentiques remplacent le modèle de playbook statique par des agents d'IA qui raisonnent à travers les alertes. Au lieu de « si cette condition, alors ces étapes », un système agentique demande « compte tenu de ce que j'ai trouvé, que dois-je examiner ensuite ? » la même logique qu'un analyste expérimenté utilise. Cela signifie que les types d'alertes sans playbooks existants peuvent toujours être investigués automatiquement.9
Principaux mouvements des plateformes en 2025-2026
- Palo Alto Cortex AgentiX : Annoncé en octobre 2025 comme le successeur direct de Cortex XSOAR. Entraîné sur 1,2 milliard d'exécutions de playbooks réels. Revendique jusqu'à 98 % de réduction du MTTR et 75 % de travail manuel en moins. Dispose de plus de 1 000 intégrations prédéfinies et d'un support natif MCP. Les SKU de services professionnels pour XSOAR ont pris fin de commercialisation le 1er février 2026.10
- CrowdStrike Charlotte SOAR agentique : Construit sur Falcon Fusion SOAR et Charlotte AI. Introduit AgentWorks, la première plateforme de développement d'agents de sécurité sans code permettant aux équipes de sécurité de créer des agents d'IA personnalisés sans écrire de code. Les analystes définissent l'intention et les garde-fous tandis que les agents collaborent, raisonnent et agissent en temps réel.11
- Automatisation agentique Google Security Operations : Intègre des agents d'IA (alimentés par Gemini) directement dans les playbooks. Combine des étapes d'automatisation déterministes avec des agents d'IA qui gèrent les variables imprévues. Disponible pour les instances Google Security Operations migrées vers l'infrastructure Google Cloud.12
- Trend Micro Vision One SOAR agentique : Fait passer les organisations de playbooks statiques à un système dynamique et autonome qui prend des décisions en temps réel basées sur la compréhension contextuelle et l'apprentissage continu des événements.13
L'implication pratique pour les équipes qui évaluent SOAR aujourd'hui : si vous construisez une nouvelle pile d'automatisation SOC, le modèle d'écriture de playbooks est celui dont le marché s'éloigne, pas celui vers lequel il se dirige. Cela ne signifie pas que le SOAR traditionnel n'a aucune valeur – les playbooks matures pour les cas d'utilisation bien compris comme les 10 ci-dessus restent efficaces – mais les nouveaux déploiements qui nécessitent un effectif d'ingénierie continu pour maintenir les playbooks sont plus difficiles à justifier.
FAQ
La technologie d'orchestration, d'automatisation et de réponse de sécurité (SOAR) aide à coordonner, exécuter et automatiser les tâches entre diverses personnes et outils.
Orchestration :
Playbooks, flux de travail
Plan d'action logiquement organisé
Contrôler et activer la pile de produits de sécurité à partir d'un emplacement central.
Automatisation de la sécurité :
Scripts automatisés
Intégrations de produits extensibles
Exécution machine des tâches de playbook.
Réponse :
Gestion de cas
Collaboration pour l'analyse et le reporting
Briser les silos : SOAR augmente la collaboration d'équipe et permet aux analystes de sécurité d'automatiser les actions à travers les outils tout au long de leur pile de sécurité.
Centralisation : Fournir aux équipes de sécurité une console centralisée pour gérer et coordonner tous les domaines de sécurité de l'entreprise.
Amélioration de la prise de décision du SOC : Les tableaux de bord SOAR peuvent aider les équipes d'opérations de sécurité à prendre de meilleures décisions en offrant une visibilité sur les menaces.
Traiter plus de notifications en moins de temps : Les SOAR peuvent aider à gérer les alertes en centralisant les données de sécurité, en enrichissant les événements et en automatisant les réponses. En conséquence, les SOC peuvent traiter plus d'alertes.
SIEM : Les outils SIEM collectent et agrègent les données des outils de sécurité internes, centralisant les journaux et signalant les anomalies.
SOAR : Les systèmes SOAR sont apparus pour améliorer les SIEM en ajoutant des capacités d'orchestration, d'automatisation et de réponse aux incidents qui font souvent défaut aux SIEM standard. Ils se concentrent sur l'automatisation des tâches répétitives, l'amélioration de la gestion des incidents et la coordination des outils de sécurité.
XDR (détection et réponse étendues) : une solution plus récente et plus puissante pour la gestion de bout en bout des événements de sécurité. Elle est principalement utilisée pour traiter les problèmes au niveau des terminaux internes. Lors de la préparation d'une réponse automatique, XDR utilise les données capturées par le SIEM.
Les grandes organisations utilisent souvent les trois outils, mais les fournisseurs combinent de plus en plus leurs fonctionnalités.
Certains SIEM incluent désormais des capacités de réponse.
Les XDR intègrent une journalisation des données de type SIEM.
Des fournisseurs tels que Microsoft Sentinel et ManageEngine Log360 offrent des capacités SIEM et SOAR.
Citer cette recherche
Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.
@misc{hafa2026,
author = {Hafa, Adil and Sezer, Sena},
title = {{10 cas d'utilisation SOAR avec des exemples de flux de travail réels}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/soar-use-cases}},
note = {AIMultiple. Consulté le 24 Juin 2026}
}








Soyez le premier à commenter
Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.