Qu’est-ce qu’un SOC?

La mise en place d’un SOC^[1]Security Operation Center (externe ou interne) est aujourd’hui une nécessité du fait des enjeux financiers, réglementaires, sécuritaires et réputationnels.

Il s’agit d’une réelle solution visant à vous protéger.

Dans cet article, nous avons rendez-vous avec Fallou NGOM, notre Responsable SOC. Il nous éclaire quant aux objectifs, au fonctionnement et à l’importance de ce dernier.

Quelques définitions

D’après Fallou, voici quelques définitions permettant de mieux comprendre le sujet.

Un SOC

Il s’agit d’un centre opérationnel de cybersécurité (SOC) est considéré comme la première ligne de défense d’une organisation face aux cyberattaques. Autrement dit, un SOC est une pièce physique où une équipe d’experts surveille discrètement la nature dynamique du cyber-risque et la façon dont l’organisation intéragit avec elle. Il détecte les menaces, les intrursions et les attaques et propose des solutions pour garantir un fonctionnement sûr et efficace d’une organisation dans un environnement en évolution exponentielle. Le SOC peut aussi proposer des formations pour le personnel d’une organisation pour les préparer aux remontés d’alertes.

Un SIEM 

Un (SIEM) est un ensemble d’outils et de services combinant les fonctionnalités de gestion des informations de sécurité (SIM) et des événements de sécurité (SEM). C’est un élément essentiel du SOC et offrant une vue globale de la sécurité des informations d’une organisation.

Le premier composant fournit la gestion de la sécurité pour la surveillance en temps réel, la corrélation des événements, des notifications et des vues de console est communément connue sous le nom de gestion des événements de sécurité (SEM).

Le deuxième composant fournit le stockage à long terme, l’analyse et la déclaration des données de journal et connu sous le nom de gestion des informations de sécurité (SIM).

Comment ça marche?

La mission principale du SOC est la surveillance et l’alerte en matière de sécurité. Cela comprend la collecte et l’analyse de données pour identifier les activités suspectes et améliorer la sécurité de l’organisation. Les données sur les menaces sont collectées à partir des pares-feux, des systèmes de détection des intrusions, des systèmes de prévention des intrusions, etc. Des alertes sont envoyées aux membres de l’équipe dès que des divergences, des tendances anormales ou d’autres indicateurs de compromission sont détectés.

Le SOC remplit les fonctions vitales suivantes :

• Surveillance, détection, investigation et triage des alertes des événements de sécurité.
• Gestion des réponses aux incidents de sécurité, notamment l’analyse des malwares et les investigations forensiques.
• Gestion des renseignements sur les menaces (ingestion, production, curation et diffusion).
• Gestion des vulnérabilités basée sur les risques (notamment, la priorisation des correctifs).
• Traque des menaces.
• Gestion et maintenance des dispositifs de sécurité.
• Développement de données et d’indicateurs pour le reporting/la gestion de la conformité.

Pour en savoir plus quant à l’implémentation d’un SOC, n’hésitez pas à jeter un oeil à cet article: The 4 must-know components to implement a SOC (excellium-services.com)

L’importance d’un SOC

Les organisations tiennent à contrôler de plus en plus leur processus de surveillance et de réponse à la sécurité. Ce système de supervision a pour réputation de réagir très rapidement en cas de propagation de logiciel malveillant, d’identification des menaces et de remise en route de l’organisation en cas d’attaque.

Différents types de SOC

Nous pouvons lister en dessous les différents types de SOC :

Interne ou dédié : La plateforme et les équipes sont internes à l’organisation et sont dédiées à la surveillance, la détection et la réponse aux incidents de sécurité.

Avantages :

• Connaissance du système d’information par les équipes
• Connaissance du contexte d’entreprise et des parties-prenantes
• Possibilité de capitaliser sur les profils en internes
• Les données restent dans l’entreprise
• Intégration complète dans le fonctionnement de l’entreprise

Inconvénients

• Coût de mise en œuvre et de maintien en condition opérationnelle élevé
• Besoin de recrutement externe additionnel pour courir les expertises manquantes
• Partialité dans les traitements et les analyses
• Nécessité de se maintenir à jour sur de multiple sujets et technologies

Externe : La surveillance est opérée par un prestataire de service externe à l’organisation. Une équipe réagit aux événements de sécurité et informe le client.

Avantages :

• Accès à une expertise complémentaire et variée
• Budget annuel et couts d’implémentation inférieur au SOC interne grâce à la mutualisation
• Retours et partage d’expérience, d’informations sur les menaces et des optimisations
• Impartialité
• Niveau de maturité élevé des processus et des équipes
• Une intégration sur-mesure et opérationnelle rapidement

Inconvénients :

• Une intégration à soigner et un fonctionnement à construire comme pour tout prestataire externe
• Des champs de responsabilités à définir précisément
• Les données peuvent quitter le contexte de l’organisation en fonction du prestataire
• Une réversibilité anticiper

Hybride : La surveillance est opérée par un prestataire externe, sur un périmètre défini. Une partie des opérations reste sous le contrôle de l’organisation, en fonction des équipes et compétences internes disponibles.

Avantages :

• Combine les avantages du SOC interne et du SOC externe
• Permet une séparation entre les périmètre sensibles ou confidentiels de ceux à confier à un prestataire
• Possibilité de segmenter les responsabilités

Inconvénients :

• Coût global potentiellement élevé à long terme
• Nécessite une définition claire des rôles et périmètres
• La définition et la gestion des processus devient plus complexe

Nous mettons déjà à disposition notre service SOC et nos équipes certifiées pour le compte de plusieurs structures de la sous-région dont : CASTEL (25 filiales), BENI, GS2E, COFINA, BDK, BRM…)