L'importance capitale du SOC en matière de Cybersécurité

SOC : du concept à la mise en œuvre

Le sujet de la cybersécurité est désormais une priorité concrète pour l’ensemble des organisations. Dans ce contexte, pour élever au maximum leur niveau de sécurité et accéder à des ressources expertes, un dispositif semble se positionner comme un réel must have : le SOC (Security Opérations Center). Mais comment expliquer ce succès, quel périmètre couvre le SOC et comment fonctionne- t-il ? Les entreprises doivent pouvoir comprendre ses mécanismes pour choisir le bon partenaire.

Les grands principes du SOC

Concrètement, le SOC a pour objectif de protéger en temps réel le Système d’Information contre des menaces identifiées, de surveiller l’activité du SI et de gérer de bout en bout les incidents. Au cœur de la sécurisation du SI, il agit donc comme une véritable tour de contrôle et permet aux entreprises d’élever significativement leur niveau de cyberprotection. Souvent internalisé dans les grandes entreprises et organisations, il est également accessible pour les PME et PMI en mode externalisé (SOC en Services managés avec logique de souscription mensuelle par exemple). Ce faisant, les petites structures bénéficient également de la possibilité d’accéder à des ressources expertes qu’elles n’auraient pas pu intégrer dans leurs équipes, de surcroit avec des engagements de réactivité sur la détection et la remédiation d’incidents de sécurité.

Le SOC n’est pas qu’une simple question de technologies ou d’outils

Si le choix de la plateforme technique utilisée est important pour choisir son SOC, elle n’est pas la seule composante à prendre en compte. Le SIEM (Security Information & Event Management) est un outil indispensable au cœur du dispositif, permettant de détecter de potentiels incidents ou anormalités. Agrémenté par des outils spécifiques aux différentes ressources du SI (NDR, Network Detection & Response, EDR, Endpoint Detection & Response etc.), il va faire le tri des événements pour alimenter le travail des analystes et experts Cybersécurité du SOC. La finesse de leur analyse des événements constatés et la compréhension de l‘environnement de leurs clients (techniques, business, etc.) leur permettent de délivrer une qualité de service de premier plan, des alertes et des recommandations pertinentes. La dimension humaine est donc tout aussi stratégique que le volet technologique pour proposer un service SOC performant.

Lancer son projet SOC en adoptant une démarche structurée

Lors du lancement de son projet, une première phase exploratoire est d’abord nécessaire pour bien connaitre le SI, sa composition, ses serveurs, ses applications, etc. Il est alors possible de mettre en place une organisation sur mesure pour opérer le service au quotidien (surveillance, veille technologique, identifications des faux positifs…). Ce travail préparatoire est l’assurance de prendre les bonnes options et de se familiariser rapidement avec l’environnement IT et l’infrastructure existante. Une fois ces éléments traités, il est possible de lancer et d’opérer le service.

Au niveau organisationnel, au-delà des éventuelles communications directes et en temps réel avec le client en cas d’événements suspects détectés, des reportings périodiques et scans de vulnérabilité doivent être émis pour avoir une vue d’ensemble des activités ayant pu impacter le SI. Cette vue plus « long terme » permet de mieux analyser des points de faiblesse globaux, de prendre de la hauteur sur les événements, de corriger en profondeur certains dispositifs.

Le SOC est donc un dispositif stratégique qui doit être accessible à toutes les entreprises. L’ANSSI inclut d’ailleurs la supervision de la sécurité dans les cinq mesures prioritaires de protection du SI, peu importe le socle (Cloud public, privé, hybride) et la taille (de la TPE aux Grandes Entreprises en passant par les acteurs du service public). On notera aussi que pour les entreprises qui font le choix d’outsourcer leur infrastructure auprès d’un hébergeur et/ou opérateur de Services managés, il peut être pertinent de s’assurer que ce dernier propose aussi un service SOC. Ainsi, maitrisant parfaitement l’infrastructure de son client, il n’en sera que plus pertinent au niveau du service SOC délivré. Cela favorise la transformation des MSP (Managed Services Providers) en MSSP (Managed Security Services Provider).