Data Insider

Qu’est-ce qu’un centre opérationnel de sécurité (SOC) ?

Un centre opérationnel de sécurité (SOC), également centre des opérations de sécurité informatique (ISOC), est un emplacement centralisé où une équipe de sécurité supervise, détecte, analyse et prend en charge les incidents de cybersécurité, généralement 24h/24.

L’équipe de sécurité, qui se compose d’analystes de sécurité et d’ingénieurs, supervise toute l’activité des serveurs, des bases de données, des réseaux, des applications, des terminaux, des sites web et des autres systèmes, dans le seul but de détecter les menaces de sécurité potentielles afin de les repousser aussi vite que possible. Elle supervise également des sources externes pertinentes (comme les listes de menaces) pouvant affecter la position de sécurité de l’entreprise.

Le SOC ne doit pas seulement identifier les menaces, il doit aussi les analyser, explorer la source, produire des rapports sur les vulnérabilités découvertes et mettre des mesures en place pour empêcher des problèmes similaires de se produire. En d’autres termes, il traite les problèmes de sécurité en temps réel tout en cherchant continuellement des moyens d’améliorer la position de sécurité de l’entreprise.

À plus grande échelle, on rencontre également les Centres des opérations de sécurité globales (GSOC), qui coordonnent des bureaux répartis dans le monde entier. Si vous avez des bureaux dans différentes régions du monde, un GSOC (plutôt qu’un SOC dans chaque site) peut éviter la reproduction de tâches et de fonctions identiques d’un site à l’autre, réduire les efforts inutiles et assurer à l’équipe de sécurité une vision d’ensemble de la situation à l’échelle de toute l’organisation.

Nous abordons ci-dessous les fonctions principales du SOC ou du GSOC, ainsi que les aspects clés de la mise en place du SOC.

Qu’est-ce qu’un SOC ? Sommaire

Analyste | Splunk est n°1 du Magic Quadrant Gartner pour le SIEM

Vue d’ensemble du SOC

Quelle est l’importance du SOC ?

Les cyberattaques sont de plus en plus néfastes pour les entreprises. En 2020, des milliards de personnes ont été touchées par des failles de données et des cyberattaques, et la confiance des consommateurs dans la capacité des entreprises à protéger leur vie privée et leurs informations personnelles continue de s’éroder. Près de 70% des consommateurs pensent que les entreprises sont vulnérables face au piratage et aux cyberattaques, et disent qu’ils sont moins enclins à rester ou devenir clients de sociétés ayant été compromises.

Pour le dire simplement, les SOC garantissent la détection et la prévention des menaces en temps réel. En regardant les choses dans leur globalité, les SOC peuvent :

  • Réagir plus rapidement : le SOC offre une vision centralisée, complète et en temps réel des performances de toute l’infrastructure du point de vue de la sécurité, même si vous devez administrer plusieurs sites et des milliers de terminaux. Vous pouvez détecter, identifier, prévenir et résoudre les problèmes avant qu’ils ne causent trop de souci à l’entreprise.
  • Protéger les consommateurs et préserver leur confiance : les consommateurs sont déjà sceptiques devant la plupart des entreprises qui affirment se préoccuper de la protection de leur vie privée. Créer un SOC pour protéger les consommateurs et leurs données peut contribuer à renforcer la confiance dans votre société. Et bien sûr, prévenir les failles entretient cette confiance.
  • Minimiser les coûts : si de nombreuses entreprises pensent que la mise en place d’un SOC est extrêmement coûteuse, le prix d’une faille – perte et corruption de données, défection des clients – est bien plus élevé. De plus, le personnel du SOC veillera à ce que vous utilisez les bons outils en profitant de tout leur potentiel, afin de vous éviter de perdre de l’argent dans des outils inefficaces.

La rentabilité de ces avantages est difficile à quantifier car ils consistent à préserver le bon fonctionnement de vos activités. Mais avez-vous absolument besoin d’un SOC ? Si votre entreprise est soumise à des réglementations gouvernementales ou industrielles, qu’elle a subi une faille de sécurité ou doit conserver des données sensibles telles que des informations clients, la réponse est oui.

Que fait un SOC ?

Le SOC dirige la réponse aux incidents en temps réel ainsi que les améliorations de sécurité permanentes qui visent à protéger l’entreprise des cybermenaces. En utilisant une combinaison complexe d’outils et de talents choisis pour superviser et gérer l’intégralité du réseau, un SOC hautement opérationnel va remplir plusieurs fonctions :

  • Supervision proactive et permanente des réseaux, des machines et des logiciels, pour détecter les menaces et les failles et gérer la réponse aux incidents.
  • Expertise dans tous les outils utilisés par votre entreprise, y compris les outils de fournisseurs tiers, afin de confirmer leur efficacité dans la résolution des problèmes de sécurité.
  • Installation, mise à jour et dépannage des applications.
  • Surveillance et gestion des systèmes de pares-feux et de prévention des intrusions.
  • Recherche et prise en charge des virus, malwares et ransomwares à l’aide de solutions adaptées.
  • Gestion des trafics de courrier électronique, de voix et vidéo.
  • Gestion et autorisation des correctifs.
  • Analyse profonde des données de log de sécurité provenant de diverses sources.
  • Analyse, investigation et documentation des tendances de sécurité.
  • Investigation des failles de sécurité, afin de comprendre la cause profonde des attaques et prévenir de futurs problèmes.
  • Application des politiques et procédures de sécurité.
  • Sauvegarde, stockage et restauration.

Le SOC utilise un éventail d’outils qui collectent les données de tout le réseau et de divers appareils, recherchent les anomalies et avertissent le personnel en cas de menace potentielle. Toutefois, le SOC fait plus que simplement gérer les problèmes lorsqu’ils se manifestent.

Que fait un SOC lorsqu’il ne détecte pas les menaces? Le SOC a pour mission de trouver les faiblesses, au sein de l’entreprise comme au-dehors, en réalisant des analyses continues de la vulnérabilité des logiciels et des machines, et en collectant activement des renseignements sur les menaces (threat intelligence) pour les risques connus. Par conséquent, y compris en l’absence de menaces actives (ce qui est assez rare, dans la mesure où des attaques se produisent toutes les 39 secondes), le personnel du SOC recherche de manière proactive des moyens de renforcer la sécurité. L’évaluation des vulnérabilités consiste notamment à essayer de pirater son propre système pour en localiser les faiblesses : c’est ce que l’on appelle les tests de pénétration. De plus, l’une des fonctions principales du personnel du SOC est l’analyse de sécurité : il doit veiller à ce que l’entreprise utilise les bons outils de sécurité, de façon optimale, en évaluant ce qui fonctionne ou non.

Qui travaille dans un SOC ?

Le SOC rassemble des analystes de sécurité et des ingénieurs chevronnés ainsi que des superviseurs qui veillent au bon fonctionnement de tous les systèmes. Ce sont des professionnels spécialement formés pour superviser et gérer les menaces de sécurité. Non seulement ils sont qualifiés dans un large éventail d’outils de sécurité, mais ils connaissent les processus spécifiques à suivre en cas de faille dans l’infrastructure.

La plupart des SOC adoptent une approche hiérarchique de la gestion des problèmes de sécurité, dans laquelle les analystes et les ingénieurs sont catégorisés en fonction de leurs compétences et de leur expérience. Une équipe classique est généralement structurée comme suit :

  • Niveau 1: première ligne de réponse aux incidents. Ces professionnels de sécurité guettent les alertes et déterminent leur urgence pour les transmettre, éventuellement, au Niveau 2. Le personnel du Niveau 1 peut également gérer des outils de sécurité et produire des rapports réguliers.
  • Niveau 2 : ces spécialistes possèdent généralement plus d’expertise, ce qui leur permet d’aller rapidement à la racine du problème et d’évaluer quelle partie de l’infrastructure est attaquée. Ils suivent des procédures pour corriger les défaillances et rétablir les systèmes, et signalent les problèmes méritant une investigation supplémentaire.
  • Niveau 3 : à ce niveau, le personnel se compose d’analystes de sécurité de haut niveau qui recherchent activement les vulnérabilités du réseau. Ils emploient des outils de détection des menaces avancées pour diagnostiquer les faiblesses et produire des recommandations afin d’améliorer la sécurité globale de l’entreprise. Dans ce groupe, vous trouverez également des spécialistes tels que des enquêteurs de type "forensique", des contrôleurs de conformité et des analystes de cybersécurité.
  • Niveau 4 : ce niveau se compose de responsables de haut niveau et de dirigeants possédant une longue expérience. Ce groupe supervise toutes les activités de l’équipe du SOC et il est responsable du recrutement et de la formation, ainsi que de l’évaluation des performances individuelles et globales. Le niveau 4 intervient en cas de crise et sert spécifiquement de liaison entre l’équipe du SOC et le reste de l’entreprise. Il est également chargé d’assurer la conformité du SOC aux réglementations de l’entreprise, de l’industrie et du gouvernement.

Quelle est la différence entre un SOC et un NOC ?

Si le SOC se concentre sur la surveillance, la détection et l’analyse de la position de sécurité d’une entreprise 24h/24, l’objectif principal du NOC, ou centre des opérations réseau, est de veiller à ce que les performances et la vitesse du réseau soient à la hauteur des attentes, en limitant les interruptions.

Les ingénieurs et les analystes du SOC recherchent des cybermenaces et des tentatives d’attaque, et interviennent avant que les données ou les systèmes de l’entreprise ne soient compromis. Le personnel du NOC recherche les problèmes susceptibles de ralentir le réseau ou de créer des coupures. Les deux effectuent une surveillance en temps réel dans le but de prévenir les défaillances avant que les clients ou les employés ne soient affectés, et recherchent des moyens d’apporter des améliorations permanentes pour empêcher les récidives.

Les SOC et les NOC doivent collaborer pour démêler les incidents majeurs et résoudre les crises, et il arrive que les fonctions du SOC soient hébergées dans le NOC. Le NOC peut détecter et prendre en charge certaines menaces de sécurité, en particulier si elles sont associées à une dégradation des performances réseau, si l’équipe est correctement formée et recherche ces menaces. Un SOC classique n’aura pas la capacité de détecter et résoudre les problèmes de performance réseau sans investir dans différents outils et jeux de compétences.

Pour bien démarrer

Quelles sont les bonnes pratiques pour mettre un SOC sur pied ?

L’administration d’un SOC repose sur plusieurs bonnes pratiques : élaborer une stratégie, acquérir une visibilité sur toute l’entreprise, investir dans les bons outils, recruter et former le bon personnel, optimiser l’efficacité et adapter votre SOC à vos besoins et risques particuliers.

Élaborer une stratégie : le SOC représente un investissement important car beaucoup de choses reposent sur votre planification de sécurité. Pour élaborer une stratégie couvrant vos besoins de sécurité, tenez compte des facteurs suivants :

  • Que devez-vous sécuriser ? Un simple réseau basé sur des machines locales, ou un réseau global ? Cloud ou hybride ? Combien de points de terminaison ? Est-ce que vous protégez des données hautement confidentielles ou des informations de clients ? Quelles sont les données les plus précieuses et les plus susceptibles d’être la cible d’une attaque ?
  • Allez-vous fusionner votre SOC et votre NOC, ou bien créer deux services distincts ? Une fois encore, leurs capacités sont très différentes et leur combinaison nécessite différents types d’outils et de compétences.
  • Avez-vous besoin que votre personnel soit disponible 24h/24, tous les jours de l’année ? Cela a un impact sur le recrutement, les coûts et la logistique.
  • Allez-vous mettre ce SOC sur pied entièrement en interne, ou externaliser tout ou partie de ses fonctions auprès d’un fournisseur tiers ? Une analyse coût-bénéfice attentive permettra d’identifier le meilleur équilibre.

Veillez à avoir de la visibilité sur toute votre entreprise : il est impératif que votre SOC ait accès à tout ce qui peut affecter la sécurité, même si cela paraît insignifiant. Outre l’infrastructure globale, cela inclut les points de terminaison, les systèmes contrôlés par des tiers et les données chiffrées.

Investissez dans les bons outils et des services adaptés : lors de l’élaboration de votre SOC, concentrez-vous d’abord sur les outils. La quantité astronomique d’événements de sécurité peut vous submerger sans les bons outils automatisés pour traiter le « bruit », ce qui peut accroître l’impact des menaces. Plus spécifiquement, vous devez investir dans les outils suivants :

  • Solution de gestion des événements et des informations de sécurité (SIEM) : ce système unifié de gestion de la sécurité offre une visibilité complète sur l’activité de votre réseau, car il collecte, interprète et catégorise les données machine d’un large éventail de sources sur le réseau et les analyse pour vous permettre d’agir en temps réel.
  • Systèmes de protection des points de terminaison : tous les appareils qui se connectent à votre réseau sont vulnérables à une attaque. Un outil de protection des points de terminaison protège votre réseau lorsqu’ils y accèdent.
  • Pare-feu : cet outil supervise le trafic réseau entrant et sortant et bloque automatiquement certains flux en appliquant les règles de sécurité que vous aurez établies.
  • Sécurité des applications automatisée : automatise le processus de test sur l’ensemble des logiciels et fournit à l’équipe de sécurité des informations en temps réel sur les vulnérabilités.
  • Système de découverte des actifs : suit les outils, appareils et logiciels actifs et inactifs sur votre réseau pour vous permettre d’évaluer les risques et de corriger les faiblesses.
  • Outil de surveillance des données : vous permet de suivre et évaluer les données pour assurer leur sécurité et leur intégrité.
  • Système de gouvernance, risque et conformité (GRC) : vous aide à assurer votre conformité aux différentes règles et réglementations qui s’appliquent à votre situation.
  • Détecteurs de vulnérabilités et tests de pénétration : permettent à vos analystes de sécurité de rechercher des vulnérabilités et de découvrir des faiblesses insoupçonnées dans votre réseau.
  • Système de gestion des logs : consigne tous les messages provenant de l’ensemble des logiciels, des machines et des terminaux présents sur votre réseau.

Recrutez les meilleurs et formez-les bien : le recrutement de personnel de talent et le développement continu des compétences est une clé du succès. Le marché des talents en sécurité est très compétitif. Une fois que vous avez recruté votre équipe, investissez continuellement dans la formation pour renforcer ses compétences ; vous améliorerez ainsi non seulement votre sécurité, mais aussi l’engagement et la fidélité de vos collaborateurs. Votre équipe doit comprendre la sécurité des applications et du réseau, les pares-feux, la garantie de l'information, les systèmes Linux/Unix, le SIEM, ainsi que l’ingénierie et l’architecture de sécurité. Vos analystes de sécurité du plus haut niveau doivent posséder les compétences suivantes :

  • Piratage éthique : il faut que l’un de vos employés cherche activement à pirater votre système pour en découvrir les vulnérabilités.
  • Cyber-enquêtes (forensique) : les analystes doivent explorer les problèmes et appliquer des techniques d’analyse pour comprendre et collecter des preuves au cours de leurs investigations. Si un problème devait entraîner des poursuites judiciaires, l’analyste de sécurité doit être en mesure de produire une chaîne de preuves documentée, détaillant ce qu'il s’est passé et pourquoi.
  • Rétro-ingénierie : ce processus consiste à déconstruire ou reconstruire un logiciel pour comprendre son fonctionnement et, surtout, quels sont ses vulnérabilités face aux attaques, de manière à ce que l’équipe puisse prendre des mesures préventives.
  • Expertise en système de prévention des intrusions : il serait impossible de rechercher les menaces sur le réseau sans outils. Votre SOC doit en maîtriser parfaitement tous les rouages.

Envisagez toutes les options : les types de SOC les plus courants sont :

  • Les SOC internes, administrés par une équipe interne à plein temps. Le SOC interne est basé dans une salle physique où tout se passe.
  • Les SOC virtuels ne sont pas basés dans les locaux de l’entreprise, et ils sont administrés par des travailleurs à temps partiel ou indépendants qui se coordonnent pour résoudre les problèmes lorsqu’ils surviennent. Le SOC et l’entreprise définissent des paramètres et des directives qui encadrent leur relation, et la quantité de support fourni par le SOC varie en fonction des besoins de l’entreprise.
  • Les SOC externalisés, dans lesquels tout ou partie des fonctions sont gérées par un fournisseur de services de sécurité gérés (MSSP) externe, spécialisé dans l’analyse et la réponse de sécurité. Il arrive parfois que ces fournisseurs offrent des services spécifiques pour appuyer un SOC interne, ou qu’ils gèrent l’intégralité des tâches du SOC .

Comment un SIEM peut-il renforcer votre SOC ?

Le SIEM permet à votre SOC de sécuriser plus efficacement votre organisation. Les meilleurs analystes de sécurité, même équipés des outils les plus sophistiqués, ne peuvent examiner le flux sans fin de données ligne après ligne pour découvrir des activités malveillantes, et c’est là que le SIEM peut changer la donne.

Comme nous l’avons indiqué, un SIEM collecte et organise toutes les données provenant de sources diverses au sein de votre réseau, et délivre à votre équipe SOC les renseignements dont elle a besoin pour détecter et prendre rapidement en charge les attaques internes et externes, simplifier la gestion des menaces, minimiser les risques et obtenir une visibilité sur toute l’entreprise et des renseignements sur sa sécurité.

Le SIEM est indispensable pour les tâches du SOC, comme la surveillance, la réponse aux incidents, la gestion des logs, les déclarations de conformité et l’application des politiques. Ses capacités de gestion des logs en font à elles seules un outil incontournable pour n’importe quel SOC. Le SIEM peut parcourir de grandes quantités de données de sécurité provenant de milliers de sources en quelques secondes seulement, afin de détecter les comportements inhabituels et les activités malveillantes, pour les arrêter automatiquement. Une grande part de cette activité reste indétectable sans un SIEM.

Le SIEM aide le SOC à consolider les logs et à élaborer des règles d’automatisation afin de réduire considérablement le taux de fausses alertes. Les analystes de sécurité ont ainsi la possibilité de focaliser leur attention sur les menaces réelles. D’autre part, le SIEM peut fournir les outils de rapport robustes qui répondront aussi bien aux besoins des enquêtes que des obligations de conformité.

Pour résumer

Investissez dans la sécurité informatique

Toutes les entreprises ont besoin d’une sécurité solide. Vous pouvez choisir d’incorporer les fonctionnalités SIEM et de sécurité à votre NOC, d’externaliser l’essentiel ou l’intégralité des fonctions SOC à un prestataire de services tiers, ou de monter une équipe en interne. Mais dans tous les cas, vous devez prendre en charge les questions de sécurité que le SOC est fait pour gérer.

Commencez par vous demander « Quels sont nos besoins de sécurité ? », puis passez à « Comment y répondre de la façon la plus efficace et la plus rentable ? »