Fortinet a annoncé la disponibilité de FortiSOC, une plateforme SOC unifiée, fournie en mode cloud et alimentée par une intelligence artificielle agentique. Cette solution vise à rassembler en une seule expérience plusieurs fonctions que de nombreuses organisations gèrent actuellement avec des outils séparés : SIEM, SOAR, renseignement sur les menaces, analyse comportementale, gestion de cas, détection des menaces d’identité et opérations assistées par IA.
La société présente FortiSOC comme une manière de réduire la fragmentation que subissent de nombreux centres d’opérations de sécurité. La pression sur les équipes SOC ne cesse de croître : plus d’alarmes, davantage d’identités, plus de terminaux, des environnements cloud variés, un grand nombre d’outils et des attaques qui évoluent rapidement. Dans ce contexte, la promesse de Fortinet est claire : moins de consoles, moins d’intégration manuelle et une automatisation supervisée accrue.
FortiSOC s’appuie sur des technologies déjà reconnues dans le catalogue de Fortinet, telles que FortiAnalyzer, FortiSIEM, FortiSOAR et FortiTIP, mais les transpose dans un modèle SaaS avec une console unique, une formule d’abonnement et un flux opérationnel commun. La société assure que ses produits existants continueront à être disponibles et à évoluer, ce qui signifie que FortiSOC ne remplace pas abruptement l’ensemble de la gamme, mais offre une voie pour ceux qui préfèrent consommer un SOC sous forme de plateforme cloud unifiée.
Un SOC cloud pour réduire la fragmentation
Le problème que tente de résoudre FortiSOC est bien connu de toute équipe de sécurité expérimentée : chaque nouvelle nécessité engendre souvent un nouvel outil. Un pour la gestion des événements, un autre pour l’orchestration, un pour le renseignement sur les menaces, un pour la gestion des cas, un pour les identités, un autre pour les endpoints, et encore un pour générer des rapports. Au final, on obtient une pile d’outils puissante mais difficile à faire fonctionner de manière cohérente.
Fortinet souhaite condenser cette complexité en une plateforme unique. FortiSOC intègre des capacités de SIEM pour la collecte et la corrélation d’événements, de SOAR pour l’automatisation et la réponse, de UEBA pour l’analyse comportementale des utilisateurs et des entités, d’ITDR pour la détection des menaces liées aux identités, la gestion de cas, la renseignement sur les menaces via FortiGuard Labs, et des opérations guidées par IA.
| Capacités intégrées dans FortiSOC | Fonction dans le SOC |
|---|---|
| SIEM | Collecte, normalisation et corrélation d’événements |
| SOAR | Automatisation des flux de réponse |
| UEBA | Détection des comportements anormaux |
| ITDR | Détection des menaces liées aux identités |
| Threat Intelligence | Contexte des menaces, indicateurs et alertes |
| Case Management | Gestion des enquêtes et des preuves |
| FortiAI-Assist | Investigation autonome, playbooks et assistance à l’analyste |
| Connecteurs tiers | Intégration avec outils de sécurité, IT et métiers |
L’idée d’un « panneau unique » est souvent répétée en cybersécurité, mais ne se traduit pas toujours par une réduction réelle de la charge de travail. La différence résidera dans la profondeur des intégrations et dans la capacité de FortiSOC à connecter les données réseau, endpoints, identité, cloud et applications sans obliger les équipes à reconstruire leurs processus de zéro.
Fortinet cherche également à couvrir des organisations à différents degrés de maturité. Pour une petite équipe, FortiSOC peut servir d’introduction plus structurée à la sécurité opérationnelle. Pour un SOC avancé, l’objectif est d’étendre l’automatisation, la corrélation et l’analyse assistée par IA sans avoir à multiplier les composants séparés.
Une IA agentique pour investiguer, corréler et répondre
La composante la plus visible de cette annonce est FortiAI-Assist. Fortinet le différencie des assistants génératifs traditionnels en ce qu’il ne se limite pas à résumer des événements ou répondre à des questions, mais coordonne des tâches dans le cadre d’investigations, de threat hunting, de gestion de cas et d’actions de réponse. La société évoque une investigation autonome, la génération de playbooks et la coordination d’agents grâce au Model Context Protocol, connu sous le nom de MCP.
Concrètement, cela aboutit à un modèle où l’IA facilite tout le cycle d’une alerte : interpréter l’événement, l’enrichir avec du contexte, le relier à des actifs et des identités, formuler des hypothèses, proposer une action, et, sous supervision de l’analyste, l’exécuter ou la préparer.
| Étape du flux SOC | Rôle de l’IA agentique |
| Triage des alertes | Grouper les événements, éliminer le bruit et prioriser |
| Investigation | Relier actifs, identités, indicateurs et contexte |
| Threat hunting | Formuler des requêtes et rechercher des motifs suspects |
| Playbooks | Générer ou adapter des réponses automatisées |
| Cas | Maintenir le contexte et les preuves dans une investigation |
| Réponse | Recommander ou exécuter des actions avec contrôle humain |
| Coordination MCP | Connecter agents, outils et flux avec un contexte persistant |
Ce mode de fonctionnement répond à un besoin crucial : le goulet d’étranglement du SOC ne réside pas uniquement dans la détection, mais dans l’investigation approfondie et l’intervention en temps utile. De nombreuses alertes nécessitent une revue d’événements, la consultation d’inventaires, la vérification de l’identité, la vérification de la réputation, l’inspection de logs, l’ouverture de tickets, la communication avec d’autres équipes et la documentation des décisions. Une partie de ce travail étant répétitive, elle peut être automatisée.
Cependant, la supervision humaine restera essentielle, notamment dans le cadre d’actions à fort impact : isolement d’un endpoint, révocation de clés, blocage d’un compte, coupure de trafic, modification de règles ou activation de réponses impactant des utilisateurs ou services critiques. L’IA peut accélérer ces processus, mais un SOC d’entreprise ne peut pas déléguer ces actions sans limites.
FortiGuard Labs et contenu prêt à l’emploi dès le lancement
Fortinet souligne que FortiSOC intègre du contenu de bonnes pratiques basé sur leur propre SOC mondial. Cela inclut des méthodes de détection, des playbooks, du renseignement sur les menaces, des alertes de campagnes et des mises à jour mensuelles de contenu. L’objectif est de réduire le délai nécessaire pour qu’une organisation démarre avec des cas d’usage concrets.
Ce point est crucial, car une plateforme SOC dépourvue de contenu n’est qu’un outil vide. Les règles, détections, playbooks et modèles de réponse sont en grande partie responsables de la valeur ajoutée. Pour les équipes peu dotées, disposer d’un contenu initial peut accélérer les déploiements. Pour les équipes matures, cela peut servir de base à l’ajustement de leurs propres processus.
| Élément inclus | Valeur pour l’équipe SOC |
| Playbooks prédéfinis | Réponses plus rapides et cohérentes |
| Détections prêtes à l’emploi | Moins de configuration initiale |
| FortiGuard Labs | Intelligence sur les menaces intégrée |
| Alertes de campagnes | Notification lors de campagnes actives |
| Mises à jour mensuelles | Adaptation aux nouvelles techniques d’attaque |
| Flux personnalisables | Adaptation aux processus internes |
FortiSOC s’intègre également avec Fortinet Security Fabric et des milliers de connecteurs tiers, selon la société. Cette ouverture sera essentielle pour les clients disposant d’environnements hétérogènes, car peu de SOC fonctionnent uniquement avec un seul fournisseur. La réalité implique souvent des firewalls, EDR, identités, messagerie, cloud, outils ITSM, plateformes de données, SASE, et applications SaaS de divers fabricants.
Pourquoi Fortinet mise sur le SOC en mode service
Ce mouvement s’inscrit dans une tendance plus large : faire évoluer les opérations de sécurité vers des plateformes cloud intégrées. Pendant des années, de nombreuses organisations ont déployé SIEM et SOAR dans des architectures complexes, avec des coûts d’infrastructure, de maintenance, d’ingestion de données et de personnel. Le modèle SaaS promet de réduire une partie de cette charge et de faciliter la montée en charge.
Fortinet ajoute aussi une composante commerciale : une console et une formule d’abonnement. Pour les clients, cela peut simplifier l’achat, la gestion des licences et les renouvellements. Pour Fortinet, cela permet de renforcer sa stratégie de plateforme et d’approcher des clients déjà équipés en FortiGate, FortiAnalyzer, FortiSIEM, FortiSOAR, FortiEDR, FortiSASE ou autres solutions de son catalogue.
| Modèle traditionnel | Modèle FortiSOC selon Fortinet |
| Plusieurs outils séparés | Plateforme cloud unifiée |
| Intégrations manuelles | Flux et connecteurs intégrés |
| Licences par produit | Une seule souscription |
| Opération fragmentée | Modèle d’investigation et de réponse unifié |
| IA en support ponctuel | IA agentique intégrée au flux SOC |
| Contenu personnalisé depuis zéro | Playbooks et détections prêtes à l’emploi |
L’espérance de retour sur investissement doit être abordée avec prudence, comme pour toute affirmation d’un fournisseur. Réduire le nombre d’outils ne garantit pas toujours une baisse des coûts si la migration est complexe, si les données coûtent cher à transférer ou si les processus internes nécessitent beaucoup d’adaptation. Cependant, le marché tend vers des plateformes qui limitent les chevauchements et aident les équipes en pénurie d’analystes.
FortiSOC ne remplace pas FortiSIEM ni FortiSOAR
Un point important de l’annonce est la coexistence avec la gamme actuelle. Fortinet affirme que FortiSOC complète et étend sa plateforme SOC constituée de FortiAnalyzer, FortiSIEM et FortiSOAR. En d’autres termes, les clients utilisant déjà ces solutions pourront continuer à le faire, tandis que FortiSOC offre une voie cloud unifiée pour ceux qui recherchent une expérience plus intégrée.
Ce point est stratégique pour les grandes entreprises : la migration d’un SIEM ou d’un SOAR n’est pas une décision anodine, car elle implique des données historiques, des règles, des connecteurs, des playbooks, des processus de conformité, de la formation et une dépendance opérationnelle. Fortinet veut éviter une rupture brutale en présentant FortiSOC comme une évolution optionnelle dans son catalogue.
Pour les nouveaux clients ou pour les équipes en phase de modernisation, FortiSOC peut apparaître plus attractif, car il évite d’avoir à sélectionner, intégrer et maintenir séparément chaque composant. Pour les clients existants, la transition dépendra de leurs besoins spécifiques, du coût, de la réglementation, du volume de données, et de leurs préférences quant au cloud.
L’IA agentique dans le SOC doit être encadrée
L’intégration d’une IA agentique dans le SOC ouvre des opportunités, mais oblige aussi à mettre en place des contrôles. Un agent qui investige et recommande des réponses peut faire gagner du temps. Un agent qui exécute des actions sans limite peut engendrer des erreurs opérationnelles si sa compréhension d’un signal est erronée ou si une réponse trop intrusive est appliquée.
C’est pourquoi la supervision humaine demeure essentielle, notamment dans les actions à fort impact : isolement d’un endpoint, révocation de droits, blocage de comptes, coupure de trafic, modification de règles ou activation de réponses affectant des utilisateurs ou des services critiques. L’IA peut accélérer ces processus mais ne doit pas remplacer totalement l’intervention humaine.
| Action de réponse | Niveau de contrôle recommandé |
| Enrichir un indicateur | Automatisable |
| Grouper des alertes | Automatisable |
| Créer un cas | Automatisable |
| Proposer un blocage | Requiert révision manuelle |
| Isole un endpoint | Requiert approbation explicite |
| Révoquer des droits | Requiert approbation et enregistrement |
| Modifier des règles critiques | Requiert validation humaine |
L’IA dans le SOC doit être traçable. Les équipes doivent connaître les données utilisées, les hypothèses émises, les actions recommandées, et qui les a validées. Sans cette traçabilité, l’automatisation risque de devenir une boîte noire dans un domaine où l’explicabilité et le contrôle sont indispensables.
Une étape de plus vers un SOC unifié
Fortinet n’est pas seul sur cette voie. Microsoft, Palo Alto Networks, CrowdStrike, Google, Cisco, SentinelOne, Splunk et d’autres acteurs intègrent également l’IA générative, l’automatisation et les capacités agentiques dans leurs plateformes de sécurité. La différenciation se fera notamment selon l’intégration avec leur propre télémetrie, l’écosystème tiers, la qualité des détections, l’expérience des analystes et la facilité de déploiement.
Fortinet bénéficie d’un avantage évident pour ses clients déjà équipés de son Security Fabric et de ses solutions réseaux et sécurité. Si FortiSOC parvient à exploiter cette télémetrie de façon fluide, il pourra réduire les délais d’investigation dans des environnements où Fortinet dispose déjà d’une forte présence. Le défi consistera également à convaincre les organisations aux architectures très hétérogènes.
La tendance globale est claire : le SOC de demain sera moins cloisonné, avec davantage d’automatisation contextuelle. Il ne sera probablement pas entièrement autonome, mais plus assisté, plus connecté, et orienté vers la gestion de flux complets. L’IA agentique peut aider à passer d’alertes isolées à des investigations avec contexte, en maintenant le contrôle des décisions critiques par l’humain.
FortiSOC incarne la vision de Fortinet pour cette étape. Un SOC cloud, unifié, intelligent et intégré dans le flux de travail. Son succès dépendra moins de ses promesses commerciales que de sa capacité à vraiment réduire le bruit, accélérer les investigations, intégrer des outils externes, et permettre aux analystes de se concentrer sur les décisions de sécurité cruciales plutôt que sur le déplacement de données entre consoles.
Questions fréquemment posées
Qu’est-ce que FortiSOC ?
FortiSOC est une plateforme SOC unifiée, fournie en mode cloud, qui intègre des fonctions telles que SIEM, SOAR, renseignement sur les menaces, UEBA, ITDR, gestion de cas et opérations assistées par IA.
Que propose FortiAI-Assist ?
FortiAI-Assist utilise une IA agentique pour la recherche d’incidents, le threat hunting, la génération de playbooks, la gestion de cas, et les actions de réponse, avec coordination basée sur MCP sous supervision humaine.
FortiSOC remplace-t-il FortiSIEM ou FortiSOAR ?
Pas nécessairement. Fortinet indique que FortiSOC complète et étend leur plateforme SOC composée de FortiAnalyzer, FortiSIEM et FortiSOAR, qui resteront disponibles et en évolution.
Pour quels types d’entreprises est destiné FortiSOC ?
Fortinet s’adresse aussi bien aux petites équipes souhaitant une base solide pour SecOps qu’aux organisations matures recherchant davantage d’automatisation et une gestion unifiée.
vía : fortinet
