SO(C) what ? Zoom sur les Security Operations Center !

0

Avec le nombre croissant de failles de sécurité et la sophistication grandissante des cyberattaques, les entreprises ont aujourd’hui un grand besoin d’analyse exhaustive et d’utilisation d’outils de supervision et gestion des données pour sécuriser au mieux leurs équipements informatiques. Ces besoins peuvent être résolus par la mise en place d’un SOC (Security Operations Center) : mais que se cache-t-il derrière cet acronyme ? Pourquoi le mettre en place ?

Qu’est-ce qu’un SOC ?

Un SOC est un dispositif de supervision de la sécurité du Système d’Information, ou autrement nommé en anglais Security Operations Center (SOC). A la tête de ce dispositif, une équipe d’analystes a pour principales missions de prévenir, détecter, analyser, évaluer et répondre aux menaces (internes et externes) et aux incidents de sécurité informatique et évaluer la conformité réglementaire.

Le SOC a pour objectif de répondre aux préoccupations principales d’une entreprise quant à sa sécurité informatique. Celles-ci sont de garantir la continuité de ses activités métiers en s’adaptant au mieux et au plus vite aux menaces et risques liés à l’hyper-connectivité, que ces contraintes soient actuelles ou futures. C’est d’ailleurs dans cet élément que se trouve un des points forts des SOC : l’utilisation combinée de la machine (outils de gestion et d’analyse) et de l’homme peuvent prévenir les attaques de demain, encore inconnues à ce jour.

Il existe différents types de SOC : interne à l’entreprise, managé (prestataire externe), SAAS (externalisé à la demande) – nous verrons d’ailleurs un cas particulier pour illustrer ce second exemple, à travers notre propre SOC ITrust, plus tard dans cet article.

Les rôles et compétences des équipes qui les composent sont variés : par exemple, il existe des SOC Specialist (chargés de l’installation et intégration des outils et maintenance du SIEM), des SOC Analyst (chargés d’analyser des Alertes/Incidents), ou encore des SOC Support (accompagnement pour amélioration continue).

Enfin, nous ne pouvons parler de SOC sans parler du SIEM, logiciel, qui de par ses fonctionnalités est considéré comme le véritable cœur de ce dispositif. En effet, face au nombre d’évènements générés par les composants d’un système d’information, il devient difficile de les traiter progressivement : les SIEM entrent alors en jeu en permettant la collecte, l’agrégation, la corrélation, le reporting ou encore l’archivage des données récoltées. Ils sont donc la véritable clé de voûte au bon fonctionnement du SOC et au bon déroulé de ses missions.

Pourquoi un SOC ?

Tout d’abord, les entreprises choisissent d’avoir un SOC parce qu’elles désirent plus de contrôle sur leur processus de surveillance et veulent une réponse efficace à leur sécurité informatique et des conversations plus éclairées avec les régulateurs qui seront continuellement au contact de leurs données, les analysant et surveillant tout comportement suspect et facilitant donc ces investigations.

L’impact stratégique d’un projet de construction SOC en fait donc une initiative cruciale pour les organisations : en effet, il améliore la détection des activités malveillantes, permet de se préparer à une attaque interne et externe, améliore le temps de réaction face à un incident de sécurité et la gestion des journaux d’événements. Aussi ce dispositif permet une réelle mise en conformité par rapport à la loi (LPM – RGDP) et améliore la vision globale de son parc informatique en termes de sécurité.

Enfin, la mise en place d’un SOC, avec un outil d’analyse comportementale réduira considérablement le nombre de tickets et le coût humain tout en améliorant la détection de nouvelles menaces.

Notre SOC nouvelle génération :

Quoi de mieux pour illustrer les missions et objectifs d’un SOC que de vous parler de celui que l’on connait le mieux, le SOC d’ITrust, à travers ses actions quotidiennes.

Le SOC mis en place et/ou opéré par ITrust permet d’optimiser la cyber-protection des entreprises tout en leur assurant une disponibilité de leurs services, et dans le cadre de la conformité réglementaire. A travers une interface graphique, claire et personnalisable, l’utilisateur peut donc avoir une vision précise de ce qu’il se passe et de superviser toute la sécurité des serveurs, routeurs, applications, bases de données, sites web… Notre équipe est composée d’analystes expérimentés, surveillant et analysant les données de nos différents clients.

Le SOC qu’ITrust met en place est un SOC managé (pour des entreprises). Il est important de préciser que notre dispositif travaille en Open source, (programme informatique dont le code source est distribué sous une licence permettant à quiconque de lire, modifier ou redistribuer ce logiciel) : le travail de nos analystes n’est donc pas lié à une entreprise qui pourrait, par exemple, faire faillite, ce qui en fait un de ses grands atouts.

L’offre SOC d’ITrust repose sur de l’outillage, des procédures, du reporting et sur les solutions créées par notre société : Ikare (solution de management des vulnérabilités qui remonte en temps réel les failles de sécurité de vos applications web, systèmes d’informations, sites internet …) & Reveelium (moteur d’analyse comportementale permettant de détecter tous comportements malveillants.).

D’ailleurs, notre solution Reveelium est une réelle force pour notre dispositif : en effet, elle nous permet d’enrichir nos scénarios de corrélation et d’être plus pertinents dans nos analyses, puisqu’implémentée d’Intelligence Artificielle et étant capable de prédire les cyberattaques qui pourraient toucher vos équipements.

Les procédures et reporting ont une place centrale dans les tâches d’analystes SOC : elles vont de la classification des alertes, aux procédures d’escalade, notifications du client par mail/SMS/téléphone en cas d’anomalie, procédure d’investigation sur incidents aux rapports d’incidents ou rapports hebdo/mensuel/annuel et aux procédures de veille (cert, darknet). D’ailleurs, si vous souhaitez en savoir plus sur les actions mises en place par notre SOC, n’hésitez pas à visiter notre site internet où tous ces points seront plus amplement développés.

Mettre en place un SOC, qu’il soit en interne ou en externe de votre entreprise est nécessaire pour assurer une bonne sécurité informatique pour vos équipements ».

En effet, il vous permettra de gagner du temps en vous concentrant sur votre cœur de métier, tout en vous accompagnant dans la mise en place d’une gouvernance de la sécurité ou dans la définition d’architecture de sécurité, assurant une surveillance en temps réel de la sécurité de vos actifs, et vous alertant en cas d’incidents.

Envie d’en savoir plus sur les SOC, et quels éléments prendre en compte pour la mise en place d’un SOC efficace ? C’est par ici.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply