Focus sur le SOC interne et ses coûts cachés et inattendus !

Temps de lecture estimé : 4 minutes

Les centres d'opérations de sécurité (SOC) ont un rôle prépondérant dans la sécurité des grandes entreprises. Mais pour les PME-ETI, un SOC interne peut représenter plus d'inconvénients que d'avantages.

Toutes les organisations n'ont pas besoin de créer leur propre SOC, et cela pourrait entraîner des coûts non prévus et une exposition inattendue aux risques.

01. Quels sont les inconvénients du SOC interne ?

Le SOC, responsable de la surveillance et de l'analyse continues des menaces, diffère de l'équipe de sécurité informatique.

La plupart des organisations ont des ingénieurs de sécurité, qui gèrent généralement les infrastructures de sécurité telles que les pare-feu et autres antivirus - mais ils ne sont pas forcément au fait de la détection et de la réponse aux incidents.

De nombreuses organisations supposent qu'elles peuvent créer et gérer leurs propres SOC à moindre coût et facilement, mais la technologie ne représente qu'une partie de l'image globale. Le temps et les ressources nécessaires pour construire un Security Operation Center en interne ajoutent des coûts considérables et inattendus au projet.

De plus, les modèles utilisés pour construire un SOC sont souvent basés sur des modèles et des technologies obsolètes, ce qui signifie que les blocs clés pour construire le SOC peuvent être compromis.

02. Quels sont les facteurs à prendre en considération, si vous optez pour un SOC interne ?

L'un des plus grands risques dans la construction d'un SOC interne est un faux sentiment de sécurité.

Dans le laps de temps nécessaire pour mûrir le modèle, les organisations connaîtront des failles en matière de sécurité. Cela peut prendre pas moins d'une année pour parvenir à des méthodologies matures, et généralement, le SOC n'est alors jamais terminé, car il faudra y apporter des améliorations de manière continue.

Lorsqu'elles envisagent la viabilité d'un SOC interne par rapport à un service de détection et de réponse gérées (MDR), les organisations doivent prendre en compte :

• La taille de l'entreprise : Compte tenu des ressources nécessaires, un SOC interne ne devient viable que dans une organisation de plus de 5 000 ou 10 000 utilisateurs, ou dans une entreprise de taille plus moyenne mais avec des risques particulièrement élevés.
• Les compétences qui seront nécessaires pour faire fonctionner le SOC : En règle générale, ceux-ci comprendront des analystes de la sécurité « SOC », des ingénieurs de détection et un gestionnaire SOC. Ces compétences peuvent être coûteuses et sont rares à l'échelle mondiale et en particulier en France.
• Le défi de conserver du personnel SOC hautement qualifié. Les petites organisations ont souvent du mal à maintenir l'engagement, la formation et la constante remise en question des personnels de sécurité IT et, selon toute vraisemblance, le turnover des équipes serait élevé.
• Le défi de rester à jour : Dans un SOC interne, les ressources qualifiées seraient limitées. En raison de la taille plutôt petite de l'équipe, le partage des connaissances et l'exposition à l'état de l'art seraient un défi permanent. Et en raison du nombre limité d'enquêtes auxquelles l'équipe de sécurité sera exposée, leur expertise augmentera à un rythme plus lent et le développement du SOC sera moins rapide.
• Le coût des solutions SIEM (Security Information and Event Management) des fournisseurs, qu'il s'agisse du hardware, des licences et de support à prévoir, qui peuvent rapidement se chiffrer en centaines de milliers d'euros dans un environnement de plus de 1 000 utilisateurs.
• Un service MDR externalisé peut donner aux organisations un accès à un SOC mature de classe mondiale même si les organisations disposent de ressources de compétences et de budgets de sécurité limités. En règle générale, les coûts d'un service MDR sont inférieurs de 40% aux coûts de construction et d'exploitation d'un SOC interne.

Le coût initial n'est pas le seul élément à considérer quand il s'agit de déployer un SOC. Les organisations doivent évaluer soigneusement les coûts de fonctionnement, notamment en heures non ouvrées (le Follow-the-Sun peut-être une réponse optimale à étudier), les risques et les défis liés aux ressources et menaces du monde réel pour obtenir une compréhension réaliste de l'approche qui leur conviendra le mieux et qui répondra aux objectifs.

Consultez nos autres articles sur le sujet :

• Le SOC : de quoi se compose ce véritable QG de votre S.I ?
• Le SOC : pourquoi est-ce recommandé par des organismes de sécurité ?
• L'évaluation de la configuration pour une meilleure défense numérique