Le SOC, un indispensable en Cybersécurité

SOC : du concept à la mise en œuvre

Le sujet de la Cybersécurité est désormais une priorité concrète pour l’ensemble des organisations. Dans ce contexte, pour élever au maximum leur niveau de sécurité et accéder à des ressources expertes, un dispositif semble se positionner comme un réel must have : le SOC (Security Opérations Center). Mais comment expliquer ce succès, quel périmètre couvre le SOC et comment fonctionne-t-il ? Les entreprises doivent pouvoir comprendre ses mécanismes pour choisir le bon partenaire.

Les grands principes du SOC

Concrètement, le SOC a pour objectif de protéger en temps réel le Système d’Information contre des menaces identifiées, de surveiller l’activité du SI et de gérer de bout en bout les incidents. Au cœur de la sécurisation du SI, il agit donc comme une véritable tour de contrôle et permet aux entreprises d’élever significativement leur niveau de cyberprotection. Souvent internalisé dans les grandes entreprises et organisations, il est également accessible pour les PME et PMI en mode externalisé (SOC en Services managés avec logique de souscription mensuelle par exemple). Ce faisant, les petites structures bénéficient également de la possibilité d’accéder à des ressources expertes qu’elles n’auraient pas pu intégrer dans leurs équipes, de surcroit avec des engagements de réactivité sur la détection et la remédiation d’incidents de sécurité.

Le SOC n’est pas qu’une simple question de technologies ou d’outils

Si le choix de la plateforme technique utilisée est important pour choisir son SOC, elle n’est pas la seule composante à prendre en compte. Le SIEM (Security Information & Event Management) est un outil au indispensable au cœur du dispositif, permettant de détecter de potentiels incidents ou anormalités. Agrémenté par des outils spécifiques aux différentes ressources du SI (NDR, Network Detection & Response, EDR, Endpoint Detection & Response etc.), il va faire le tri des événements pour alimenter le travail des analystes et experts Cybersécurité du SOC. La finesse de leur analyse des événements constatés et la compréhension de l‘environnement de leurs clients (techniques, business, etc.) leur permettent de délivrer une qualité de service de premier plan, des alertes et des recommandations pertinentes. La dimension humaine est donc tout aussi stratégique que le volet technologique pour proposer un service SOC performant.

Lancer son projet SOC en adoptant une démarche structurée

Lors du lancement de son projet, une première phase exploratoire est d’abord nécessaire pour bien connaitre le SI, sa composition, ses serveurs, ses applications, etc. Il est alors possible de mettre en place une organisation sur mesure pour opérer le service au quotidien (surveillance, veille technologique, identifications des faux positifs…). Ce travail préparatoire est l’assurance de prendre les bonnes options et de se familiariser rapidement avec l’environnement IT et l’infrastructure existante. Une fois ces éléments traités, il est possible de lancer et d’opérer le service.

Au niveau organisationnel, au-delà des éventuelles communications directes et en temps réel avec le client en cas d’événements suspects détectés, des reportings périodiques et scans de vulnérabilité doivent être émis pour avoir une vue d’ensemble des activités ayant pu impacter le SI. Cette vue plus « long terme » permet de mieux analyser des points de faiblesse globaux, de prendre de la hauteur sur les événements, de corriger en profondeur certains dispositifs.

Le SOC est donc un dispositif stratégique qui doit être accessible à toutes les entreprises. L’ANSSI inclut d’ailleurs la supervision de la sécurité dans les cinq mesures prioritaires de protection du SI, peu importe le socle (Cloud public, privé, hybride) et la taille (de la TPE aux Grandes Entreprises en passant par les acteurs du service public). On notera aussi que pour les entreprises qui font le choix d’outsourcer leur infrastructure auprès d’un hébergeur et/ou opérateur de Services managés, il peut être pertinent de s’assurer que ce dernier propose aussi un service SOC. Ainsi, maitrisant parfaitement l’infrastructure de son client, il n’en sera que plus pertinent au niveau du service SOC délivré. Cela favorise la transformation des MSP (Managed Services Providers) en MSSP (Managed Security Services Provider).

Paroles d’experts

« Disposer d’un SOC était encore récemment pratiquement impossible pour la majeure partie des entreprises. Certaines ont pu déployer des SIEM seulement pour constater que les milliers d’alertes générées étaient intraitables. Désormais le développement de l’IA permet d’apporter une analyse comportementale avec la capacité d’apprentissage, générant ainsi majoritairement des alertes pertinentes. Il y a eu une véritable démocratisation, face à des attaques plus que jamais généralisées, organisées et fréquentes. »

Clément LEGRAND – Ingénieur Cybersécurité ITS Integra

« Pour faire ce travail au quotidien, il faut certes être bien formé sur les outils mais cela ne suffit pas. Je nous vois parfois comme des détectives qui accumulent de l’expérience nous permettant de relater des événements dans le cadre de notre connaissance de la plateforme supervisée. L’analyse factuelle et l’intuition font bon ménage pour guider nos efforts. L’enjeu vaut toujours le coup d’aller le plus loin possible dans l’investigation. Ne pas se contenter d’une première hypothèse est essentielle, il faut savoir cultiver patience, persévérance et curiosité pour apporter une vraie garantie de sérénité aux clients. »

Asma HORRICH-SELMI – Analyste Cybersécurité ITS Integra