Poser question

Qu’est-ce que le Security Orchestration, Automation and Response (SOAR) ?

Table des matières

Security Orchestration, Automation and Response (SOAR) : définition

Le Security Orchestration, Automation and Response (SOAR) désigne une catégorie de solutions de cybersécurité conçues pour coordonner les opérations, automatiser les tâches répétitives et standardiser la réponse aux incidents. Le terme a été formalisé par Gartner en 2017 comme la convergence de trois domaines : l’orchestration, l’automatisation et la gestion de la réponse aux incidents. En pratique, une plateforme SOAR intègre plusieurs systèmes, exécute des procédures prédéfinies et documente l’ensemble du traitement des événements de sécurité.

Dans le contexte de l’anonymisation de photos et de vidéos, le SOAR n’est ni un moteur de détection de visages ni un système de reconnaissance de plaques d’immatriculation. Il ne remplace pas le modèle d’IA chargé de détecter les objets dans l’image. Son rôle consiste à déclencher le bon processus lorsqu’un événement donné survient, par exemple à la réception d’une vidéo à analyser, lors de la détection d’un non-respect d’une politique de confidentialité, ou après une demande de conservation d’un élément de preuve. Le SOAR peut donc orchestrer les processus autour de l’anonymisation, mais l’anonymisation elle-même nécessite des composants distincts d’analyse d’image, généralement basés sur le deep learning.

Pour un Délégué à la protection des données, cette distinction est essentielle : le SOAR pilote le flux d’actions et le contrôle du processus, tandis que la détection des visages et des plaques d’immatriculation relève de modèles de vision par ordinateur. Dans des systèmes comme Gallio PRO, le floutage automatique concerne les visages et les plaques d’immatriculation, mais pas les logos, tatouages, badges nominatifs, documents ou contenus affichés sur des écrans. Ces éléments peuvent nécessiter une retouche manuelle à une étape distincte du processus.

Rôle du SOAR dans l’anonymisation des photos et des vidéos

Dans les environnements où un grand volume de contenus visuels est traité, le principal défi ne réside pas uniquement dans la détection des objets dans l’image. La répétabilité, l’auditabilité et la maîtrise de chaque étape sont tout aussi importantes. C’est précisément là que le SOAR intervient.

Dans le domaine de la protection de la vie privée, une solution SOAR peut coordonner toute la chaîne d’opérations, depuis la réception d’un fichier jusqu’à sa diffusion sécurisée. Ce type de système assure généralement les fonctions suivantes :

  • réception de l’événement, par exemple l’envoi de photos ou d’un enregistrement vers un référentiel ;
  • qualification du dossier, afin de déterminer si le contenu nécessite une anonymisation avant toute utilisation ultérieure ;
  • déclenchement du workflow approprié, avec routage automatique des fichiers vers l’analyse ;
  • vérification des résultats, avec transfert du contenu vers un opérateur si le seuil de confiance du modèle est trop faible ;
  • journalisation des étapes du processus, sans enregistrer de données personnelles superflues ;
  • escalade, lorsque le contenu présente un risque élevé d’atteinte à la vie privée ;
  • clôture du dossier, avec confirmation de l’exécution de l’anonymisation.

Dans ce modèle, le SOAR ne « comprend » pas les visages ou les plaques au niveau des pixels. En revanche, il déclenche les outils qui effectuent cette détection. Cette séparation est importante au regard du RGPD, car elle permet de dissocier la couche décisionnelle, la couche de traitement d’image et la couche d’audit.

Technologies liées au SOAR et à l’anonymisation vidéo

Un processus efficace d’anonymisation des contenus visuels repose sur la combinaison de plusieurs familles de technologies. Le SOAR n’est que l’une d’entre elles, et sa valeur augmente réellement lorsqu’il est intégré à des systèmes analytiques et à des référentiels de données.

L’architecture la plus courante comprend les composants suivants :

  • SIEM : source d’alertes et de corrélation des événements de sécurité ;
  • système de gestion des incidents : pour attribuer les dossiers et documenter les actions ;
  • module de vision par ordinateur / IA : détection des visages et des plaques d’immatriculation sur images et vidéos ;
  • référentiel de fichiers : stockage contrôlé des contenus sources et des versions produites ;
  • mécanismes de contrôle d’accès : conformes au principe du moindre privilège ;
  • outils de DLP ou de classification des données : pour détecter les risques de violation des politiques ;
  • éditeur manuel : pour flouter manuellement les éléments que le modèle ne détecte pas automatiquement.

Au niveau de l’IA, on utilise généralement des réseaux convolutifs ainsi que des architectures de détection plus récentes. Le deep learning est indispensable pour créer un modèle capable de détecter les visages et les plaques d’immatriculation, puis de transmettre les coordonnées des objets au module de floutage. Le SOAR ne remplace pas cette étape. Il peut toutefois décider quel modèle lancer, quel seuil de confiance appliquer et à quel moment soumettre le résultat à une validation humaine.

Paramètres clés et métriques du SOAR dans les processus d’anonymisation

Évaluer la pertinence d’un SOAR suppose de mesurer à la fois des paramètres opérationnels et qualitatifs. Les simples déclarations d’un fournisseur ne suffisent pas. Dans un environnement de protection des données, il faut démontrer que le processus est maîtrisé, reproductible et auditable.

Paramètre

Signification

Exemple d’application

 

MTTD

Mean Time To Detect : temps moyen entre l’événement et sa détection

Temps écoulé entre la réception du fichier et le lancement du workflow d’anonymisation

MTTR

Mean Time To Respond/Remediate : temps moyen de réponse ou de remédiation

Temps nécessaire pour produire une version avec visages et plaques floutés

Latency workflow

Latence d’exécution du processus

Critique en cas de files d’attente importantes, même s’il ne s’agit pas toujours de traitement en temps réel

Recall de détection

Proportion d’objets correctement détectés parmi tous les objets réellement présents

Indicateur clé pour les visages et les plaques, car les omissions augmentent le risque de violation

Precision de détection

Proportion de détections correctes parmi toutes les détections du modèle

Une faible précision augmente le nombre de floutages erronés et alourdit le contrôle manuel

Audit trail completeness

Exhaustivité de la piste d’audit

Confirmation de l’identité de la personne ayant lancé le processus, validé le résultat et du moment où cela a été fait

Pour évaluer la qualité de la détection, on utilise les métriques standard du machine learning. Pour plus de clarté, elles peuvent être exprimées ainsi :

Precision = TP / (TP + FP)

Recall = TP / (TP + FN)

Où TP désigne les détections correctes, FP les faux positifs et FN les objets non détectés. Pour l’anonymisation de photos et de vidéos, un recall élevé est généralement plus important que la maximisation de la precision, car un visage ou une plaque non détecté peut entraîner la divulgation de données à caractère personnel.

Déroulement pratique d’un processus avec SOAR

Le plus utile est de considérer le SOAR comme une couche de pilotage du processus. Dans une organisation qui traite des contenus visuels, le workflow peut se dérouler comme suit :

  1. Le système reçoit un signalement ou un fichier contenant un enregistrement.
  2. Le SOAR vérifie le type de dossier, la source du contenu et la politique de traitement applicable.
  3. Le fichier est envoyé vers un outil d’anonymisation d’images et de vidéos.
  4. Le module d’IA détecte les visages et les plaques d’immatriculation, puis génère le floutage.
  5. Si le niveau de confiance de la détection passe sous le seuil défini, le SOAR transmet le contenu à un opérateur pour contrôle.
  6. L’opérateur peut flouter manuellement les éléments qui ne sont pas pris en charge automatiquement par le modèle.
  7. Le SOAR enregistre le résultat du dossier, son statut, le temps de traitement et l’identifiant de l’opérateur.
  8. Le contenu final est transmis à un destinataire autorisé ou versé dans une archive conforme à la politique de conservation.

Un tel modèle est conforme à l’approche privacy by design prévue à l’article 25 du RGPD, car il peut réduire le nombre d’interventions manuelles, limiter les accès inutiles au contenu source et permettre de démontrer que le processus a été exécuté selon une procédure définie.

Défis et limites du SOAR dans la protection de la vie privée

Le SOAR améliore l’organisation du travail, mais ne résout pas à lui seul tous les problèmes liés à l’anonymisation. En pratique, il existe des limites techniques et juridiques qui doivent être prises en compte dès la phase de conception du processus.

Les principales sont les suivantes :

  • dépendance à la qualité de l’intégration : une mauvaise intégration avec le référentiel ou le moteur d’IA peut bloquer l’ensemble du processus ;
  • qualité du modèle de détection : le SOAR ne compensera pas un modèle peu performant pour la détection des visages ou des plaques ;
  • risque de journalisation excessive : la piste d’audit ne doit pas, à elle seule, générer de nouvelles données à caractère personnel ;
  • nécessité d’une validation manuelle : notamment pour les contenus difficiles, nocturnes, flous ou partiellement masqués ;
  • divergences d’interprétation concernant les plaques d’immatriculation : en Pologne, l’appréciation de leur qualification comme données personnelles dépend du contexte et n’est pas totalement uniforme dans la pratique juridique.

C’est pourquoi le SOAR doit être considéré comme un mécanisme de contrôle du processus, et non comme une garantie d’efficacité totale de l’anonymisation. Dans les environnements de conformité, la combinaison de l’automatisation, de la supervision humaine et de politiques clairement définies est essentielle.

Références normatives et sources

La définition et les usages du SOAR doivent être replacés dans leur cadre technique et réglementaire. En matière de protection des données personnelles lors du traitement d’images et d’enregistrements, les documents relatifs à la réponse aux incidents sont aussi importants que les textes juridiques encadrant la légalité de la réutilisation des contenus.

  • Gartner, définition du marché du SOAR, 2017 : documents analytiques ayant introduit le terme Security Orchestration, Automation and Response.
  • NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide, 2012 : référence pour les processus de réponse aux incidents.
  • NIST SP 800-92, Guide to Computer Security Log Management, 2006 : principes de journalisation et de limitation des risques liés aux logs.
  • Règlement (UE) 2016/679, RGPD : en particulier les articles 5, 25 et 32.
  • ENISA : documents et lignes directrices sur l’automatisation de la sécurité, les SOC et la réponse aux incidents, utiles pour la conception des playbooks.
  • Lignes directrices du CEPD et positions des autorités de contrôle relatives aux données personnelles dans les contenus visuels, notamment l’image des personnes et les plaques d’immatriculation.

Il convient de souligner que le SOAR n’est pas une norme formelle au sens d’une norme ISO dotée de sa propre spécification. Il s’agit d’un terme de marché et d’architecture décrivant une fonction système. Son évaluation doit donc reposer sur des paramètres de processus mesurables ainsi que sur la conformité aux exigences juridiques et de sécurité en vigueur.

Voir aussi

Retour au glossaire