Temps de lecture estimé : 23 minutes
Alors que les cyberattaques se multiplient, les entreprises de toutes tailles se voient confrontées à la problématique de la sécurité de leur système d'information.
Elles sont également obligées de suivre différentes législations relatives à l'informatique ainsi qu'aux données qu'elles traitent et collectent.
Dans ces conditions, la mise en place d'un SOC (Security Operation Center) est une solution efficace pour détecter les menaces, répondre aux attaques et suivre les obligations réglementaires.
01. Qu'est-ce que le SOC ?
02. Les missions du SOC ?
03. Les différentes catégories du SOC ?
04. Les avantages du SOC pour votre entreprise
Le Security Operation Center est aussi désigné en tant que COS (Centre Opérationnel de Sécurité). Il se compose des personnes et des équipements techniques nécessaires pour assurer la supervision de la sécurité informatique d'une société et intervenir rapidement en cas d'incident ou d'attaque.
Afin d'optimiser le fonctionnement du SOC dans son entreprise, il est important que plusieurs types de profils y soient représentés :
Les membres du SOC sont en relation étroite avec l'équipe d'intervention en cas d'incident de sécurité informatique. Désignée en tant que CSIRT (Computer Security Incident Response Team), cette équipe peut aussi être intégrée dans le SOC.
Un des éléments clés sur lequel le SOC se base est le SIEM (Security Information and Event Management). Le SIEM collecte l'ensemble des informations générées par l'infrastructure informatique : systèmes d'exploitation, routeurs, serveurs, pare-feu, logiciels antivirus, base de données, etc.
Il analyse toutes ces informations, les surveille et les corrèle afin d'évaluer la conformité des événements par rapport aux normes et moyennes définies pour l'entreprise.
Quand un dysfonctionnement est détecté, le SIEM crée des alertes qui sont analysées par des experts et éventuellement transmises à des outils spécifiques de sécurité.
Le SIEM peut également posséder une fonctionnalité lui permettant la surveillance des actions des utilisateurs jugées non conformes.
Son objectif ultime est de protéger efficacement contre les cyberattaques les systèmes d'information de votre société.
L'infaillibilité étant impossible à atteindre en matière de sécurité informatique, le Security Operation Center doit également gérer les conséquences des incidents et minimiser les effets négatifs qu'ils peuvent avoir sur votre société et son fonctionnement à court, moyen et long terme.
Ses principales activités consistent à :
Afin d'agir efficacement dans la lutte contre les cyberattaques, le SOC doit procéder à une analyse des risques éventuels. Ainsi, il est possible de définir des scénarios de menaces avec les scénarios de détection correspondants.
Une fois la définition des scénarios terminée, ils vont être testés dans des conditions réelles pendant quelques semaines afin de les affiner et d'ajouter des conditions permettant d'éliminer les faux positifs.
Quand ils sont finalisés, ces scénarios déclenchent une alerte lorsqu'un cas modélisé survient.
Le Security Configuration Assessment, en auditant vos systèmes existants, peut vous aider à renforcer vos systèmes, serveurs et applications.
Quand une alerte arrive, elle amène la création d'un ticket d'incident puis fait l'objet d'une première qualification et d'une analyse initiale en suivant la documentation relative à chaque scénario. Si l'incident n'est pas grave, il est traité directement.
Dans le cas contraire, il est transmis à des analystes expérimentés qui travaillent en étroite collaboration avec les équipes en charge du secteur concerné par l'attaque et peuvent aussi faire appel à l'équipe CSIRT.
Dans le cas d'incidents très complexes, des experts interviennent.
La mise en place des systèmes de sécurité doit tenir compte des différentes réglementations existantes parmi lesquelles le Règlement Général de Protection des Données (RGPD), le Network and Information System Security (NIS) et la Loi de Programmation Militaire (LPM/).
Le RGPD oblige notamment les entreprises à garantir la disponibilité, l'intégrité, la confidentialité et la résilience (la continuité même en cas d'incident) des services et systèmes de traitement. Il demande d'instaurer des moyens de rétablir la disponibilité des données en cas d'attaque et des procédures pour évaluer régulièrement l'efficacité des mesures de sécurité.
Suite à la directive européenne NIS, relative à la sécurité des réseaux et des systèmes d'information, les OSE (Opérateurs de services essentiels) doivent par exemple signaler à l'ANSSI (Agence nationale de la sécurité des systèmes d'information) tous les incidents de sécurité qui pourraient avoir un impact notable sur la continuité de leurs services.
La LPM définit, quant à elle, les règles de sécurité relatives aux systèmes d'information d'importance vitale (SIIV).
Également nommée « Threat Intelligence », la cyberveille regroupe l'ensemble des connaissances concernant les menaces d'attaques qui permettent de décider quelles actions mettre en œuvre afin de protéger l'entreprise contre les menaces. Elle peut être classifiée en 4 catégories :
Il existe plusieurs modèles variant notamment selon la localisation et l'organisation technique:
Implanter un SOC dans votre société permet d'améliorer trois points cruciaux pour votre système d'information : son contrôle, la détection des attaques et la réponse aux incidents ainsi que sa mise en conformité.
Le SOC donne à votre entreprise une vue d'ensemble et un contrôle optimisé de tous vos processus de surveillance.
Comme vos données sont suivies de manière permanente, la moindre divergence par rapport aux comportements définis comme normaux est rapidement détectée.
Force d'identification rapide des éventuelles attaques internes ou externes, le SOC permet d'agir rapidement pour répondre aux incidents.
Quand l'attaque est avérée, la réponse ciblée est mise en œuvre plus facilement et plus rapidement car des procédures ont été établies en amont pour agir en fonction du type d'incident. Or, la rapidité est un élément clé pour limiter les dégâts, notamment dans le cas d'une infection par un malware.
De plus, grâce à l'activité de cyberveille du SOC, votre entreprise est en mesure de prendre en avance les mesures adaptées, par exemple dans le cas d'un virus qui se répand dans le monde, en suivant les préconisations données par les experts au fur et à mesure la progression de la menace.
Enfin, le SOC est également très efficace pour contrer les attaques par déni de service (DDoS : Distributed Denial of Service) qui consistent à empêcher le fonctionnement normal d'une infrastructure informatique en saturant la bande passante ou en épuisant les ressources systèmes de la machine.
De nombreuses législations françaises, européennes ou internationales, qu'elles soient globales ou sectorielles, régissent les sociétés en matière de sécurité des systèmes d'information.
Parmi les plus répandues, il y a le Règlement Général de Protection des Données qui concerne le traitement et la sécurité des données personnelles ou encore le PCI DSS (Payment Card Industry Data Security Standard), une norme internationale visant la protection des utilisateurs de carte bancaire lors des paiements en ligne.
Afin d'améliorer la surveillance de votre système d'information, de détecter et de contrer les attaques tout en répondant aux exigences légales, le SOC est devenu un véritable atout. Sa mise en place est d'ailleurs recommandée par des organismes publics faisant autorité en la matière comme l'Agence nationale des systèmes d'information.
Vous prévoyez de déployer un SOC pour votre entreprise ? Pensez à télécharger notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"
Découvrez également notre offre SOC.