SOC informatique, définition, missions et rôle dans votre SI
Article écrit par
Serge PayetTemps de lecture estimé : 23 minutes
Alors que les cyberattaques se multiplient, les entreprises de toutes tailles se voient confrontées à la problématique de la sécurité de leur système d'information.
Elles sont également obligées de suivre différentes législations relatives à l'informatique ainsi qu'aux données qu'elles traitent et collectent.
Dans ces conditions, la mise en place d'un SOC (Security Operation Center) est une solution efficace pour détecter les menaces, répondre aux attaques et suivre les obligations réglementaires.
01. Qu'est-ce que le SOC ?
02. Les missions du SOC ?
03. Les différentes catégories du SOC ?
04. Les avantages du SOC pour votre entreprise
01. Définition du SOC informatique
La définition du SOC
Le Security Operation Center est aussi désigné en tant que COS (Centre Opérationnel de Sécurité). Il se compose des personnes et des équipements techniques nécessaires pour assurer la supervision de la sécurité informatique d'une société et intervenir rapidement en cas d'incident ou d'attaque.
Les profils des collaborateurs travaillant dans le SOC
Afin d'optimiser le fonctionnement du SOC dans son entreprise, il est important que plusieurs types de profils y soient représentés :
- des managers : ils supervisent l'ensemble des opérations ;
- des analystes : ils surveillent le système d'information, détectent les activités suspectes, gèrent les alertes de sécurité, mènent les investigations après des incidents avérés et interviennent en amont pour de la prévention ;
- des ingénieurs et des spécialistes en cybersécurité : ils œuvrent pour une amélioration continue du SOC, paramètrent les systèmes de supervision, installent et intègrent les différents outils, etc. ;
- des experts en sécurité : ils font bénéficier les analystes de leur expertise spécifique pour la résolution d'incident
Les membres du SOC sont en relation étroite avec l'équipe d'intervention en cas d'incident de sécurité informatique. Désignée en tant que CSIRT (Computer Security Incident Response Team), cette équipe peut aussi être intégrée dans le SOC.
L'importance du SIEM
Un des éléments clés sur lequel le SOC se base est le SIEM (Security Information and Event Management). Le SIEM collecte l'ensemble des informations générées par l'infrastructure informatique : systèmes d'exploitation, routeurs, serveurs, pare-feu, logiciels antivirus, base de données, etc.
Il analyse toutes ces informations, les surveille et les corrèle afin d'évaluer la conformité des événements par rapport aux normes et moyennes définies pour l'entreprise.
Quand un dysfonctionnement est détecté, le SIEM crée des alertes qui sont analysées par des experts et éventuellement transmises à des outils spécifiques de sécurité.
Le SIEM peut également posséder une fonctionnalité lui permettant la surveillance des actions des utilisateurs jugées non conformes.
02. Les missions du SOC
Son objectif ultime est de protéger efficacement contre les cyberattaques les systèmes d'information de votre société.
L'infaillibilité étant impossible à atteindre en matière de sécurité informatique, le Security Operation Center doit également gérer les conséquences des incidents et minimiser les effets négatifs qu'ils peuvent avoir sur votre société et son fonctionnement à court, moyen et long terme.
Ses principales activités consistent à :
- prévenir, détecter et évaluer les menaces qu'elles soient internes ou externes ;
- intervenir quand un incident survient pour le stopper, récupérer autant de données que possible, limiter les dégâts occasionnés, analyser pourquoi il a pu avoir lieu, proposer un plan de reprise si nécessaire ;
- évaluer la conformité réglementaire ;
- réaliser de la cyberveille.
La prévention, la détection et l'évaluation des menaces
Afin d'agir efficacement dans la lutte contre les cyberattaques, le SOC doit procéder à une analyse des risques éventuels. Ainsi, il est possible de définir des scénarios de menaces avec les scénarios de détection correspondants.
Une fois la définition des scénarios terminée, ils vont être testés dans des conditions réelles pendant quelques semaines afin de les affiner et d'ajouter des conditions permettant d'éliminer les faux positifs.
Quand ils sont finalisés, ces scénarios déclenchent une alerte lorsqu'un cas modélisé survient.
Le Security Configuration Assessment, en auditant vos systèmes existants, peut vous aider à renforcer vos systèmes, serveurs et applications.
Les interventions lors d'un incident
Quand une alerte arrive, elle amène la création d'un ticket d'incident puis fait l'objet d'une première qualification et d'une analyse initiale en suivant la documentation relative à chaque scénario. Si l'incident n'est pas grave, il est traité directement.
Dans le cas contraire, il est transmis à des analystes expérimentés qui travaillent en étroite collaboration avec les équipes en charge du secteur concerné par l'attaque et peuvent aussi faire appel à l'équipe CSIRT.
Dans le cas d'incidents très complexes, des experts interviennent.
L'évaluation de la conformité réglementaire
La mise en place des systèmes de sécurité doit tenir compte des différentes réglementations existantes parmi lesquelles le Règlement Général de Protection des Données (RGPD), le Network and Information System Security (NIS) et la Loi de Programmation Militaire (LPM/).
Le RGPD oblige notamment les entreprises à garantir la disponibilité, l'intégrité, la confidentialité et la résilience (la continuité même en cas d'incident) des services et systèmes de traitement. Il demande d'instaurer des moyens de rétablir la disponibilité des données en cas d'attaque et des procédures pour évaluer régulièrement l'efficacité des mesures de sécurité.
Suite à la directive européenne NIS, relative à la sécurité des réseaux et des systèmes d'information, les OSE (Opérateurs de services essentiels) doivent par exemple signaler à l'ANSSI (Agence nationale de la sécurité des systèmes d'information) tous les incidents de sécurité qui pourraient avoir un impact notable sur la continuité de leurs services.
La LPM définit, quant à elle, les règles de sécurité relatives aux systèmes d'information d'importance vitale (SIIV).
La cyberveille
Également nommée « Threat Intelligence », la cyberveille regroupe l'ensemble des connaissances concernant les menaces d'attaques qui permettent de décider quelles actions mettre en œuvre afin de protéger l'entreprise contre les menaces. Elle peut être classifiée en 4 catégories :
- stratégique pour analyser les tendances en matière d'attaques ;
- tactique en s'intéressant aux modes opératoires des cyberpirates ;
- opérationnelle quand elle collecte des informations sur les attaques en cours dans le monde ;
- technique lorsqu'elle classifie par exemple les malwares selon leurs caractéristiques.
03. Les différentes catégories de SOC
Il existe plusieurs modèles variant notamment selon la localisation et l'organisation technique:
- interne ou dédié : il fonctionne grâce aux ressources internes de l'entreprise aussi bien en matière d'équipes IT et d'exploitation que de moyens techniques et de locaux ;
- virtuel : il agit uniquement quand une alerte est déclenchée ou qu'un incident survient, il ne possède pas d'installations physiques propres ni de membres dédiés ;
- externe ou cogéré : un prestataire de sécurité informatique ou MSSP (Managed Security Service Provider) gère le Security Operation Center grâce à ses propres moyens techniques et ses équipes internes ;
- inclus dans un NOC (Network Operation Center) : le NOC prend en charge les tâches du Security Operation Center et d'autres tâches critiques telles que la maintenance du réseau, le stockage, la virtualisation et la sauvegarde ces données ;
- hybride: des équipes externes gèrent certaines opérations (analyses suite à un incident, cyberveille, etc.) et des collaborateurs en interne se chargent du support de niveau 3 comme la gestion des incidents graves ou critiques ;
- fusion ou orienté Threat Intelligence : il combine des fonctionnalités classiques avec la cyberveille, l'apprentissage automatique et l'Intelligence Artificielle (IA) dans le but de définir des profils d'attaquants potentiels ;
- de commande : il coordonne, supervise d'autres SOC et partage son expertise en matière de menaces et de solutions.
04. Les avantages du SOC pour votre entreprise
Implanter un SOC dans votre société permet d'améliorer trois points cruciaux pour votre système d'information : son contrôle, la détection des attaques et la réponse aux incidents ainsi que sa mise en conformité.
Une vue globale des processus de surveillance
Le SOC donne à votre entreprise une vue d'ensemble et un contrôle optimisé de tous vos processus de surveillance.
Comme vos données sont suivies de manière permanente, la moindre divergence par rapport aux comportements définis comme normaux est rapidement détectée.
Une détection améliorée et des réponses adaptées
Force d'identification rapide des éventuelles attaques internes ou externes, le SOC permet d'agir rapidement pour répondre aux incidents.
Quand l'attaque est avérée, la réponse ciblée est mise en œuvre plus facilement et plus rapidement car des procédures ont été établies en amont pour agir en fonction du type d'incident. Or, la rapidité est un élément clé pour limiter les dégâts, notamment dans le cas d'une infection par un malware.
De plus, grâce à l'activité de cyberveille du SOC, votre entreprise est en mesure de prendre en avance les mesures adaptées, par exemple dans le cas d'un virus qui se répand dans le monde, en suivant les préconisations données par les experts au fur et à mesure la progression de la menace.
Enfin, le SOC est également très efficace pour contrer les attaques par déni de service (DDoS : Distributed Denial of Service) qui consistent à empêcher le fonctionnement normal d'une infrastructure informatique en saturant la bande passante ou en épuisant les ressources systèmes de la machine.
Être en conformité par rapport aux réglementations
De nombreuses législations françaises, européennes ou internationales, qu'elles soient globales ou sectorielles, régissent les sociétés en matière de sécurité des systèmes d'information.
Parmi les plus répandues, il y a le Règlement Général de Protection des Données qui concerne le traitement et la sécurité des données personnelles ou encore le PCI DSS (Payment Card Industry Data Security Standard), une norme internationale visant la protection des utilisateurs de carte bancaire lors des paiements en ligne.
Afin d'améliorer la surveillance de votre système d'information, de détecter et de contrer les attaques tout en répondant aux exigences légales, le SOC est devenu un véritable atout. Sa mise en place est d'ailleurs recommandée par des organismes publics faisant autorité en la matière comme l'Agence nationale des systèmes d'information.
Vous prévoyez de déployer un SOC pour votre entreprise ? Pensez à télécharger notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"
Découvrez également notre offre SOC.
Articles à la une
Ces articles pourraient vous intéresser
07/08/2024
Cyberattaques 2024 : Leçons cruciales pour les CSIRT
Découvrir
19/10/2023
SOC : les étapes de déploiement
Découvrir