SECURITY OPERATIONS CENTER (SOC), LA TOUR DE CONTRÔLE D’UNE DSI MODERNE

La diversité et la multiplication des menaces s’intensifient, rendant la cybersécurité incontournable pour les DSI modernes. Retour sur les rôles d’un Security Operations Center (SOC) dans la maitrise de la sécurité du système d’information.

Une exposition croissante aux menaces (plus de 80% des entreprises ont été visées par une cyberattaque), une pression réglementaire accrue (à l’instar du Règlement Général sur la Protection des Données)… Autant de raisons pour les organisations d’améliorer la maîtrise de la sécurité de leurs systèmes d’information et de s’intéresser au Security Operations Center (SOC). Une tour de contrôle pensée pour détecter, prévenir d’un potentiel risque et déterminer des actions de réaction. Avec un objectif affiché : garantir la continuité des activités métiers en s’adaptant au mieux et au plus vite aux contraintes et risques. 

Généralement, le SOC implique une combinaison d’outils technologiques, de processus et de personnel dédiés à la collecte, au tri et à l’investigation des incidents de sécurité :  

    • Des moyens Humains – experts en sécurité informatiques : Opérateurs, Analystes, Pentesteur. Leur mission : interagir avec les équipes responsables de la sécurité des systèmes d’information au sein de l’entreprise, afin d’adapter au mieux le dispositif à l’organisation. Leur objectif principal est d’analyser les événements pour répondre aux incidents dans un délai réduit. 
    • Des processus – Les processus du SOC sont spécifiques à la supervision et à l’administration de la sécurité du SI. Ils ont pour objectif d’assurer la supervision du SI, la détection et la résolution des incidents de sécurité mais également d’apporter des améliorations au SOC sur la base de l’évaluation de ses processus, de l’évolution des menaces et des évolutions réglementaires. 
    • Des technologies – Autrement dit, l’ensemble des moyens techniques utilisés pour collecter, corréler, stocker et établir un rapport sur les événements de sécurité. La solution de sécurité principale du SOC est le SIEM (Security Information and Event Management). C’est un outil de gestion des évènements du système d’information. 
    • Processes – SOC processes are specific to IS security monitoring and administration. Their objective is to ensure the monitoring of the IS, the detection and resolution of security incidents as well as making improvements to the SOC based on the evaluation of its processes, the evolution of threats and regulatory developments. 
    • Technologies – meaning all the technical means used to collect, correlate, store and report on security events. The SOC’s main security solution is the SIEM (Security Information and Event Management). It is an event management tool of the information system. 

Profiter de services à large spectre 

Les services fournis par le SOC s’organisent autour des activités suivantes : 

Prévention  

  • Veille sécurité en relation avec le Computer Security Incident Response Team (CSIRT/CERT) 
  • Affinage et maintien à jour de l’outillage  
  • MCS (Maintien en Condition de Sécurité) de l’outillage  
  • Optimisation des règles de détection, et prise en compte des Indicators of Compromise (IoC) fournis par les équipes CSIRT/CERT (Computer Security Incident Response Team/ Computer Emergency Response Team) 

Il s’agit pour le SOC d’identifier les risques, de mesurer l’exposition aux menaces et d’évaluer le niveau de sécurité afin de définir une roadmap et un plan de vigilance.  

Détection  

  • Collecte et analyse des logs 
  • Corrélation des informations afin d’analyser les événements de sécurité dans sa globalité et pas unitairement 
  • Déclenchement et qualification d’alerte sur des éléments suspects 
  • Notification et communication aux entreprises clientes 

Dans le bruit généré par les différentes activités, le SOC détecte des incidents de sécurité ainsi que des tentatives d’attaques. De quoi connaître l’exposition de l’entreprise aux menaces. Cette surveillance technique et comportementale permet d’être averti dans un minimum de temps.  Le centre de sécurité collecte les événements (sous forme de logs notamment) remontés par les composants de sécurité, les analyses, détecte les anomalies et définit des réactions en cas d’émission d’alerte. 

Réaction Réponse 

  • Traitement immédiat des alertes documentées et analyses 
  • Traitement des incidents de sécurité avec les équipes de supervision 
  • Investigations suite à un incident de sécurité (Forensic) 

Le SOC doit avant tout réagir avec des délais très courts et apporter les réponses les plus appropriées. Il s’agit d’accompagner dans l’urgence, d’apporter de l’expertise et de la méthodologie au moment où l’organisation en a le plus besoin. 

Rapport / Tableau de bord  

  • Génération de rapports réguliers de l’activité du SOC 
  • Tableau de bord Sécurité avec des indicateurs de service (Alertes, Incidents, Investigations, …), des indicateurs techniques (MCO/MCS) et des indicateurs d’évolution (extension du périmètre de collecte, nouvelles règles de détection, …) 

Opter pour le bon modèle de SOC

La mise en place d’un SOC est un projet d’envergure, transverse avec des impacts opérationnels importants. Le support explicite de la Direction est indispensable pour justifier les dépenses récurrentes induites par une telle organisation. Encore faut-il opter pour le bon modèle de SOC selon son organisation, ses enjeux et ses moyens. 

  • SOC virtuel : pas d’installation dédiée ici, les membres de l’équipe sont à temps partiel, activés en cas d’alerte ou d’incident critique  
  • SOC dédiée : installation dédiée avec une équipe dédiée, entièrement en interne 
  • SOC distribué / cogéré : Les membres de l’équipe sont dédiés et semi-dédiés, avec typiquement 5×8 au niveau opérationnel ; lorsqu’il est utilisé avec un MSSP, ce SOC est cogéré 
  • SOC de commande : ce type de SOC coordonne les autres SOC, fournit des renseignements sur les menaces, apporte son expertise en cas de menaces et est rarement impliqué directement dans les opérations au jour le jour 
  • Centre d’opérations SOC / Network Operations Center (NOC) : c’est une installation dédiée avec une équipe dédiée effectuant non seulement la sécurité mais également d’autres opérations informatiques critiques 24/7 de la même installation pour réduire les coûts 
  • Next gen SOC : Ce type de SOC reprend les fonctions traditionnelles et les nouvelles fonctions telles que l’intelligence des menaces (Threat intelligence), une équipe d’intervention en cas d’incident informatique (CIRT) et les fonctions de technologie opérationnelle (OT). 
  • SOC externalisé : il s’agit ici de faire appel à un prestataire externe qui dispose des ressources humaines et technologiques pour offrir les services d’un SOC. Si les plus grandes organisations peuvent envisager de mettre en œuvre les ressources nécessaires pour construire un SOC interne, d’autres peuvent faire face à de très fortes difficultés dans la construction d’une telle fonction interne non directement liée à leur métier. 

 

La certification ISO  27001, gage de qualité ?
Certains SOC bénéficient de la certification ISO 27001. Cela garantit la mise en œuvre d’un système de management et des mesures organisationnelles et techniques dans le but de garantir un bon niveau de sécurité. La qualification et la certification d’un SOC à l’ISO 27001 est particulièrement complexe à obtenir étant donnée les nombreuses contraintes que cela impose. Un SOC certifié ISO 27001 signifie donc qu’il dispose d’un grand savoir-faire dans le domaine et représente un vrai gage de maturité. 

Mieux corréler pour mieux analyser

Le SOC s’appuie sur plusieurs outils pour corréler et analyser des sources de logs multiples et garantir une protection cyber plus efficace : 

  • Firewall 
  • IDS / IPS 
  • Web Application Firewall 
  • Anti-malware 
  •  

Les logs collectés par le SOC sont remontés dans le SIEM (Security Information and Event Management) composé de plusieurs outils d’analyse performants : 

  • Module de détection APT 
  • Outil de gestion des vulnérabilités 
  • Outil de contrôle de conformité
  • Module de corrélation des logs 
  • Module d’analyse comportementale 

Multiplier les atouts face aux cybermenaces 

Disposer d’un Security Operations Center améliore la détection des incidents de sécurité par la surveillance continue et l’analyse de l’activité des données. Cependant, mettre en place un SOC et l’exploiter peut s’avérer complexe et coûteux. Voilà pourquoi les entreprises mettent en place leur propres SOC ou font appel à un SOC externalisé afin de bénéficier des avantages suivants : 

  • Réduire les risques et l’indisponibilité des composants critiques du système d’information 
  • Identifier les menaces et les prévenir : aujourd’hui, les entreprises mettent en moyenne 191 jours pour identifier une violation de données (Source : Cost of Data Breach 2017). Le SOC permet d’identifier des menaces potentielles en temps réel. 
  • Raccourcir les délais d’intervention : dans le cas d’une infection d’un malware par exemple, le temps de propagation sera réduit à son minimum. Aujourd’hui avec le RGPD (Règlement Général sur la protection des Données), il est requis de notifier d’une violation de données dans les 72 heures. 
  • Amélioration de la surveillance : l’un des facteurs clés de succès d’un SOC passe par la mise en place d’une stratégie de surveillance efficace. Pour cela, il sera défini dans un document le périmètre, l’architecture technique, les processus de surveillance et de maintien, les règles du SOC. 
  • Gagner du temps sur l’investigation des incidents : le SOC apporte des gains d’efficacité substantiels pour les équipes de traque des menaces les plus matures. D’après une étude 2018 de McAfee, un SOC mature peut clôturer les investigations d’incidents en moins d’une semaine grâce aux compétences des experts dans la traque des menaces.  

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.