Temps de lecture estimé : 17 minutes
Avec le Big Data, c'est-à-dire l'explosion de la masse de données numériques, la gestion de la sécurité des informations devient une priorité pour toutes les entreprises. Recommandée par des organismes gouvernementaux spécialisés dans la sécurité informatique, la mise en place d'un SOC ou Security Operation Center est un enjeu important pour les sociétés.
S'il peut être difficile de créer un Centre Opérationnel de Sécurité en interne, il est possible d'externaliser la protection de vos informations.
Une des meilleures façons de procéder consiste à confier cette tâche à des prestataires opérant en mode « Follow the Sun », ce qui vous assure une continuité du service en ayant l'assurance que le personnel impliqué travaille dans de conditions optimales.
01. Quelles sont les fonctions du SOC ?
02. Pourquoi le COS est-il important pour votre société ?
03. Quels sont les différents types de COS ?
04. Les bénéfices des processus de surveillance internationaux
05. Les évolutions du COS
Le Security Operation Center, SOC, est la dénomination anglaise du Centre Opérationnel de Sécurité, COS. Il correspond à un département, interne ou externe à l'entreprise, qui administre, supervise et gère la sécurité du système d'information.
Après avoir défini le SOC, voyons quels sont ses objectifs. Le SOC a pour but de protéger l'ensemble des installations informatiques contre les cyberattaques et de prendre en charge de manière globale les incidents de cybersécurité. Il gère donc :
|
|
Le COS assure ainsi la surveillance de la sécurité relative à toutes les couches logiques de l'infrastructure informatique :
|
|
Pour remplir ses missions, le COS s'appuie notamment sur un SIEM (Security Information and Event Management) qui prend en charge la collecte, la surveillance, la corrélation et l'analyse des événements provenant des logs collectés sur différentes machines. Il peut ainsi, de manière continue, détecter les tentatives, réussies ou non, d'exploitation des vulnérabilités des systèmes informatiques. Les alertes soulevées sont analysées par les équipes dédiées afin que seuls les véritables incidents soient traités. Pour que le SIEM soit performant, il est donc important qu'il soit paramétré de manière à ne reporter que les alertes réelles (en éliminant les "faux positifs") et à éviter la duplication d'informations.
Cependant, le SIEM ne peut être le seul outil du COS et il doit être couplé avec des systèmes permettant de surveiller l'intégrité du contenu et de détecter les vulnérabilités. En utilisant ces différentes solutions, il est possible de définir des indicateurs de risque pertinents.
Avec un Centre Opérationnel de Sécurité, votre entreprise diminue les risques de survenue d'incidents informatiques et améliore leur détection grâce à une supervision permanente et une analyse continue de ses systèmes comme de ses données. L'activité d'un COS lui permet également d'être en conformité avec plusieurs réglementations telles que :
L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ainsi que le CIS (Center for Internet Security) préconisent d'ailleurs la création de COS pour la prévention, la détection et la réponse aux incidents de sécurité.
Plusieurs modèles existent en matière de Centre Opérationnel de Sécurité :
Pour créer un COS en interne, il est nécessaire d'investir dans une technologie coûteuse et d'engager du personnel qualifié, sans parler de la nécessité des mises à jour, des formations régulières, et de la logistique pour opérer en 24/7. De nombreuses sociétés optent alors pour le COS externe. Au vu des responsabilités qui reposent alors sur le prestataire que vous aurez choisi, il est crucial que dans votre contrat/et plus précisément dans la partie concernant le niveau de service (le SLA, Service Level Agreement) des éléments factuels soient précisés ainsi que des indicateurs calculés véritablement en fonction des attentes spécifiques de votre société.
La stratégie appelée « Follow the sun » (Suivre le soleil) consiste à mener des actions en continu en se basant sur des équipes installées dans des fuseaux horaires différents et qui se passent le relais au fur et à mesure de l'avancement de la journée et de la nuit. En optant pour un COS externalisé en mode « Follow the Sun », votre entreprise profite de plusieurs avantages :
La mise en place d'un COS externe nécessite une collaboration étroite entre les équipes internes et externes. Il est donc important de choisir un prestataire de confiance, dont vous pouvez vérifier les références et idéalement situé dans un périmètre relativement proche de votre structure.
Pensez que, dans le cas où votre entreprise travaille avec le Cloud, il est indispensable de mettre en place une structure au sein du Centre Opérationnel de Sécurité dédiée totalement au Cloud. Il faut aussi se souvenir que les actions du COS ne remplacent pas les différentes mesures de précautions relatives à la gestion des données qui sont à implémenter au niveau de chaque collaborateur, notamment avec des sensibilisations régulières.
Avec une permanente augmentation du nombre de données à traiter, le COS est en train d'évoluer pour inclure des fonctionnalités auparavant plutôt réservées aux formules premium telles que les technologies prédictives et de machine learning.
Cette approche combine l'adaptatif, le prédictif et le cognitif pour proposer aux entreprises une démarche de «security intelligence». L'objectif est de garantir aux sociétés la protection et la défense de leurs systèmes d'information, tout comme la cyberdéfense le fait au niveau des institutions nationales.
D'autres articles sur la thématique :